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En el momento de la publicación de esta obra, segunda mitad de 2004, el 
número de adultos españoles que navegan por Internet superará amplia- 
mente los 12 millones, lo que representa más de un tercio de la población 
adulta. Y durante el año 2005, la difusión de Internet superará la mitad de 
la población. Esto significa que Internet ha dejado de ser un lujoso y exóti- 
co pasatiempo para convertirse en parte de la infraestructura de todo país 
desarrollado. 

Este crecimiento se produce en un entorno en el que los medios de co- 
municación y los poderes tradicionales, quizá en defensa de su territorio, 
tienden a hacer de Internet una fuente de noticias negativa. Por ejemplo, a 
la luz de los numerosos casos descubiertos en los últimos años, parece que 
un delito tan execrable como la pedofilia se asocia exclusivamente a Internet. 
Sin embargo, esto no es así, Internet tan sólo ha hecho aflorar unas redes 
delictivas que han existido hasta ahora de una manera mucho más oculta. 

En vez de referirse a los efectos positivos como libre acceso, libertad de 
expresión, difusión, instantaneidad, internacionalización o servicios al ciu- 
dadano, se tiende a asociar Internet con pedofilia, timos, maníacos sexua- 
les, terrorismo, abuso de derechos de autor, compras fraudulentas, robo de 
información, difusión de virus, etc. 

En este caldo de cultivo, aunque los usuarios creen que el uso del co- 
mercio electrónico, el motor económico de la red, supone grandes ventajas 
y se encuentran altamente motivados para el uso de la cada vez más amplia 
gama de servicios ofrecidos a través de la Red, los problemas de seguridad, 
como demuestran numerosos estudios, constituyen el principal factor de 
desmotivación para el uso de Internet en transacciones que impliquen un 
compromiso económico o la revelación de datos confidenciales. 
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La sensación de falta de seguridad no es tan sólo una creación artificial, ya que no trans- 
curre un mes sin que se haga pública alguna vulnerabilidad que afecte a la principal herra- 
mienta de acceso a Internet: el navegador Internet Explorer, utilizado por más del 90% de 
los ordenadores. Los reiterados esfuerzos del primer fabricante mundial de software por 
mejorar esta situación parecen haber sido hasta ahora completamente inútiles. Y se han 
centrado más en mejorar los mecanismos de distribución de parches y actualizaciones que en 
mejorar la calidad del software para disminuir el número de vulnerabilidades de seguridad. 

En el entorno que acabamos de describir, las publicaciones sobre seguridad ciertamente 
son abundantes. Sin embargo, el presente libro aparece en el momento adecuado y viene a 
cubrir una necesidad de los usuarios avanzados, de los profesionales liberales y de las pymes. 
Hasta la aparición de Seguridad informática para empresas y particulares resultaba patente 
la inexistencia de obras en castellano que abordaran el tema de la seguridad informática y de 
Internet desde un nivel intermedio. Es fácil encontrar obras para profesionales de la infor- 
mática y las telecomunicaciones, pero hasta ahora no existía una obra como ésta destinada 
tanto a esos usuarios avanzados que quieren profundizar en el tema, como al personal de 
informática de pequeñas y medianas empresas en que no se necesitan complejas arquitectu- 
ras de seguridad. 

No cabe duda de que la obra que prologamos se convertirá en una de las referencias 
bibliográficas de obligada lectura para cualquier persona de habla hispana que quiera adqui- 
rir una visión amplia de la seguridad en la informática y las telecomunicaciones. 


Juan Carlos G. Cuartango 
Director de Instituto Seguridad Internet (www.instisec.com) 


== Introducción 


"El único sistema verdaderamente seguro es aquel 

que está apagado, encerrado en un bloque de hormigón y sellado 
en una habitación recubierta de plomo con guardias armados... 
y aun así tengo mis dudas." 


Eugene Spafford, "Computer Recreations: Of Worms, Viruses 
and Core War", Scientific American, marzo 1989, p. 110. 


La seguridad no es una disciplina de todo o nada. No existen sistemas 100% 
seguros. Cotidianamente realizamos innumerables acciones expuestas a di- 
ferentes riesgos: conducimos el coche, montamos en bici, volamos en avión, 
andamos de noche por la calle, bebemos agua del grifo, pagamos con tarjeta 
de crédito en el restaurante, en fin, son tantas las cosas que hacemos sujetas 
a riesgos que no podrían enumerarse todas. Y a pesar de ello, las seguimos 
haciendo. Sabemos que podemos tener un accidente de coche, pero confia- 
mos en nuestra pericia como conductores, en la tecnología de los modernos 
automóviles, en las carreteras y hasta nos fiamos del que viene de frente. 
Ponerse el cinturón o llevar un airbag de serie no evitará un accidente, pero 
mitigará el daño si se produce. No beber antes de conducir o circular de día 
puede reducir el riesgo de accidente. Como se ve, la seguridad gira en torno 
a la gestión del riesgo. Todos sabemos que ni los coches, ni los aviones, ni 
los trenes son 100% seguros y, a pesar de todo, seguimos usándolos a dia- 
rio. ¿Por qué? Porque aunque sea de manera inconsciente, realizamos un 
sencillo análisis de riesgos y decidimos seguir adelante o no. No bebemos 
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agua del grifo en un país subdesarrollado ni andamos de noche por un callejón oscuro del 
peor barrio de la ciudad ni meteríamos en casa a un desconocido. Á veces nos equivocamos 
en la evaluación del riesgo, a veces se producen fallos técnicos, a veces nos hemos precipita- 
do y no hemos reflexionado previamente. La vida puede verse como una constante toma de 
decisiones en la que se evalúa el riesgo y se actúa en consecuencia. 

La aspiración de este libro es enseñarle a gestionar el riesgo de la información. Los 
sistemas informáticos están expuestos a amenazas de todo tipo. Primero debe saber identifi- 
carlas, para poder evaluarlas y decidir las medidas de seguridad que adoptará para mitigar el 
riesgo que suponen. Decidirá si merece la pena implantar una contramedida o si es mejor 
aceptar el riesgo tal cual. Tratar de eliminar el riesgo por completo es imposible. Nuestro 
objetivo es enseñarle a reducirlo hasta unos niveles aceptables, que le permitan convivir con 
él. En el fondo sabe que un avión, por poder, puede caerse en pleno vuelo, pero no por ello 
deja de utilizarlo. Con la seguridad informática ocurre igual. Aunque muchas cosas pueden 
fallar, si aprende a controlar el riesgo podrá sentirse cómodo con la informática, confiar en 
ella y sacarle el máximo provecho. 


Por qué este libro 


La idea seminal de este libro germinó en una terraza. Nos encontrábamos charlando con un 
amigo que tiene una pequeña empresa de diez trabajadores, quien nos pidió que le recomen- 
dáramos un libro sobre seguridad informática. Nos vinieron a la cabeza numerosos títulos, 
pero rápidamente los desechábamos, ya que no resultaban adecuados para las necesidades de 
nuestro amigo. 

Pronto nos dimos cuenta del hecho de que la práctica totalidad de libros de seguridad 
informática que existen actualmente en el mercado editorial abordan el tema desde una 
perspectiva y lenguaje excesivamente técnicos, estando orientados principalmente hacia un 
público muy profesional y especializado: administradores de red, consultores de seguridad, 
diseñadores de aplicaciones, desarrolladores de software, programadores, directivos de em- 
presas, etc. Por consiguiente, se aprecia un vacío de obras orientadas hacia el mercado del 
profesional liberal y la pyme, segmento conocido como SOHO (Small Office/Home Office): 


Usuarios que disponen en sus casas u oficinas de un solo ordenador conectado a 
Internet a través de un módem telefónico o una línea ADSL. 

A Usuarios que han creado una pequeña red doméstica con 2 o 3 ordenadores, a menu- 
do interconectados con tecnologías WiFi con el fin de evitar los problemas de cableado, 
y con salida a Internet. 

S Pequeñas empresas con una reducida LAN de hasta una docena de equipos 
interconectados mediante un concentrador (hub), o un conmutador (switch), o un 
punto de acceso inalámbrico, compartiendo todos ellos el acceso a Internet mediante 
un router ADSL de 256 Kbps. 


Mirando nuestras estanterías, encontramos libros que tratan en exclusiva el tema de los 
cortafuegos, las redes privadas virtuales, la criptografía, la detección de intrusos, el análisis 
forense, y así sucesivamente. Cada libro trata un tema muy concreto con gran nivel de deta- 
lle, pero ninguno ofrece una perspectiva global de la seguridad. Evidentemente, un lector del 
sector SOHO antes descrito, interesado en adquirir un conocimiento práctico sobre la segu- 
ridad, que pueda aplicar en su situación particular, no puede comprar ni leer todos esos 
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libros. En primer lugar, es seguro que carecerá del bagaje técnico para comprenderlos. En 
segundo lugar, esos libros están orientados a las grandes redes, con cientos o incluso miles 
de ordenadores, con complejas arquitecturas y requisitos de confidencialidad, integridad y 
disponibilidad muy superiores a los del usuario de SOHO convencional, por lo que las solu- 
ciones proporcionadas a menudo no son de aplicación en su entorno. En pocas palabras, esos 
libros de seguridad le resultarán prácticamente inútiles al lector medio. Sin embargo, sus 
necesidades de protección son igualmente acuciantes. 

Así pues, surgió la idea de escribir un libro capaz de ofrecer una visión de la seguridad de 
la información completa y muy práctica a todos aquellos usuarios del sector SOHO y usua- 
rios domésticos no profesionales que sientan la necesidad de proteger sus recursos informáticos 
frente a atacantes externos o internos o frente a desastres grandes o pequeños. 


A quién está dirigido el libro 


El libro está destinado a cualquier persona que pretenda iniciarse en la gestión de la seguri- 
dad de la información. Tanto el usuario particular como los técnicos informáticos de las 
pymes encontrarán en el libro la ayuda necesaria para entender la seguridad informática más 
allá de la instalación de una serie de productos. Obtendrán una visión global y podrán plan- 
tear sin problemas una estrategia eficaz para proteger sus sistemas. 

El error más desafortunado que puede cometer una empresa o un particular es esperar a 
que ocurra un desastre para adoptar una postura segura. ¿Cuántas personas no han realizado 
nunca copias de seguridad de sus archivos hasta que un día los perdieron todos? ¿Cuántas 
empresas no han instalado un cortafuegos hasta después de haber sido atacadas con éxito? 
¿Cuántas organizaciones no han implantado una política de seguridad que defina el uso 
aceptable de sus recursos informáticos hasta después de una demanda judicial? En seguridad 
existe una vieja máxima que reza: 


Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. 
Cuando algo sucede, nos lamentamos de no haber invertido más. 


El propósito del presente libro es elevar el nivel de conocimiento de seguridad informá- 
tica del lector, así como concienciarle en los temas referentes a seguridad de la información. 
Las pequeñas empresas y particulares no se caracterizan por su iniciativa en materia de 
seguridad. Es difícil convencer a alguien de que pague más por algo que hace lo mismo, 
aunque lo haga de forma más segura. Quedará claro a lo largo de las páginas del libro que 
cualquier ordenador, incluso si no está conectado a Internet, está expuesto a amenazas. No 
hay que esperar a que se materialicen en forma desastrosa para hacer algo al respecto. Es 
verdad que puede que nunca pase nada malo, pero es más probable que suceda una calami- 
dad. Por eso hay que tomar la iniciativa, hay que adelantarse al desastre. Paradójicamente, 
tal y como se verá, implantar la seguridad tampoco tiene por qué ser caro. La mayor parte de 
herramientas descritas en el libro o vienen suministradas con el propio sistema operativo 
o son gratuitas. No hay excusa para no actuar desde ya y empezar a trazar un plan de segu- 
ridad. 

Todos los temas del libro pueden aplicarse a empresas y particulares, aunque el nivel de 
implantación de las soluciones variará de unos a otros. Por ejemplo, todos los equipos debe- 
rían estar protegidos por un cortafuegos, aunque la elección de un cortafuegos personal 
gratuito, o de un cortafuegos software o hardware dedicado, dependerá ya de cada caso 
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concreto. Como segundo ejemplo, considérense las actualizaciones de seguridad: todos los 
equipos y dispositivos deberían actualizarse regularmente, pero en función de las necesida- 
des se optará por un mecanismo u otro, sometiéndose las actualizaciones a un proceso de 
prueba más o menos riguroso, etc. 

En definitiva, todos los conceptos presentados encontrarán su aplicación tanto en parti- 
culares como en empresas, pero siempre amoldándose a las necesidades de unos y otros. 
Incluso temas más organizativos, como la definición de políticas de seguridad, deberían ser 
considerados por los particulares: aunque no redacten documentos, sí deberían establecer 
una serie de normas verbales para todos los que usan el ordenador. Es la intención de este 
libro ayudar al lector a recapacitar sobre los muchos aspectos de la seguridad en los que a lo 
mejor no había reparado, pero que revisten una importancia capital para asegurar a largo 
plazo la información y los recursos. 


Cómo se organiza este libro 


La información proporcionada a lo largo del libro se ha estructurado en seis capítulos: 


1. Introducción a la seguridad de la información 


Aunque se trata del capítulo más teórico del libro, posiblemente sea el más importante. En él 
se intenta transmitir la idea de que la seguridad es algo más que un cortafuegos, un antivirus 
y el cifrado de datos. La seguridad es el resultado de operaciones realizadas por personas y 
soportadas por la tecnología. Si cualquiera de estos tres elementos clave falla, la seguridad se 
tambalea y cae. El primer capítulo está dedicado a la presentación de los aspectos organizativos 
de la gestión de la seguridad y otros conceptos que serán manejados profusamente a lo largo 
del libro, de utilidad tanto para el particular como para la empresa, aunque pueda no parecerlo 
a primera vista. 


2. Anonimato y privacidad 


Bien porque se quiere proteger los datos de carácter personal propios, bien porque se está 
obligado a proteger los de los clientes y empleados, lo cierto es que la privacidad es un tema 
de vital importancia para empresas y particulares. En este capítulo se explican cuáles son las 
amenazas a la intimidad en el ámbito de Internet y de qué herramientas y procedimientos 
pueden servirse para protegerla. El capítulo se cierra con dos secciones sobre la Ley Orgáni- 
ca de Protección de Datos de Carácter Personal (LOPD) y la Ley de Servicios de la Sociedad 
de la Información y Comercio Electrónico (LSSICE), de obligado cumplimiento para aque- 
llas empresas y profesionales que presten servicios a través de la Red. 


3. CID: Confidencialidad, Integridad, Disponibilidad 


En este capítulo se presentan los tres pilares de la seguridad: confidencialidad, integridad y 
disponibilidad (CID) de la información, que deben protegerse siempre que sea necesario. Se 
presentan las amenazas más frecuentes, los ataques más utilizados y las contramedidas para 
contrarrestarlos. El capítulo se completa con dos secciones más, una sobre otros conceptos 
de seguridad igualmente importantes, como son la autenticación, la autorización y la auditoría, 
y otra sobre las firmas electrónicas y los certificados digitales. 
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4. Protección de redes 


Hoy en día, los ordenadores se encuentran interconectados de formas complejas, con cables 
o conexiones inalámbricas. En primer lugar, el capítulo introduce las amenazas y herra- 
mientas de ataque más utilizadas. A continuación se presenta la seguridad en elementos de 
red, tales como módems, concentradores (hubs), conmutadores (switches) y encaminadores 
(routers), así como en redes inalámbricas. Por último, se presentan las tecnologías más uti- 
lizadas para su protección, como cortafuegos y redes privadas virtuales. 


5. Protección de equipos 


No basta con proteger la red, también hay que proteger los equipos individuales, tanto servi- 
dores como puestos de trabajo. En este capítulo se explican las técnicas de fortalecimiento 
del sistema operativo y de las aplicaciones, de servidor y de cliente. Se continúa abordando el 
problema del malware: virus, gusanos, troyanos y contenido activo malicioso, para seguir 
con la amenaza de la ingeniería social, cerrándose el capítulo con el tema del molesto spam. 


6. Auditoría, detección de intrusiones y análisis forense 


El último capítulo es el más técnico y avanzado de todo el libro, pero no por ello menos 
asequible. En primer lugar, se explica la metodología seguida por los hackers en sus ataques, 
lo que puede ayudar a protegerse mejor frente a ellos. Después se introduce el tema de la 
detección y de la prevención de intrusiones, medida muy importante para enterarse de ata- 
ques en curso o impedirlos por completo. A continuación se explica cómo configurar y 
monitorizar los registros de auditoría del sistema operativo y de las aplicaciones, lo que 
permite saber qué está pasando en un sistema, revistiendo un gran valor en el análisis de lo 
ocurrido tras un ataque. Por último, se termina con una sección sobre análisis forense, al que 
se recurre cuando ha tenido lugar un incidente de seguridad y se desea esclarecer los hechos 
y, posiblemente, emprender acciones legales contra el intruso. 

Cada capítulo viene acompañado de una sección con referencias bibliográficas y direc- 
ciones de Internet donde encontrar información detallada sobre los temas introducidos en el 
libro. Para cada tema se ha intentado reunir no el máximo número de referencias, sino las 
más representativas o autorizadas. 

Cuando se introducen conceptos nuevos siempre aparece entre paréntesis su nombre en 
inglés, no por pedantería, sino por ayudar al lector si éste desea ampliar información sobre 
los mismos buscándolos en Internet. Debido a la escasez de páginas en español que traten 
estos temas, desgraciadamente la mayoría de fuentes de información en Internet se encontra- 
rán en inglés. 


Qué hace falta para leer el libro 


Guste o no, lo cierto es que Windows es el sistema operativo más utilizado en entornos 
SOHO. La vocación de este libro es eminentemente práctica. Con el fin de facilitar la aplica- 
ción de los controles y medidas de seguridad explicados a lo largo de sus páginas, las expli- 
caciones se particularizan para los sistemas operativos XP/2000/2003. Cuando se habla de la 
línea de servidores no se hace referencia a NT 4, porque está quedando totalmente obsoleto, 
siendo sustituido por Windows 2000/2003. Tampoco se hace referencia a los sistemas 
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operativos domésticos 95/98/Me, porque carecen de características de seguridad y han sido 
reemplazados igualmente por Windows XP. En definitiva, para sacar el máximo partido de 
algunas partes de este libro se requiere poseer puestos de trabajo con Windows XP y servido- 
res con Windows 2000/2003, requisitos nada exigentes en el año 2005. No obstante, los 
conceptos explicados son siempre generales, aplicables a cualquier sistema operativo. Lo único 
que cambia son los ejemplos paso a paso presentados para aplicar los conceptos teóricos. 

Además de las numerosas herramientas de seguridad suministradas por los propios siste- 
mas operativos, en el libro se mencionan multitud de programas y aplicaciones, la mayoría 
de ellas freeware. En todos los casos se indica el URL donde puede descargarse la herramien- 
ta o cuando menos una copia de evaluación. El lector con poco presupuesto de seguridad 
puede respirar tranquilo, ya que la práctica totalidad de herramientas que necesitará para 
instalar los controles de seguridad o bien acompañan al sistema operativo o bien son comple- 
tamente gratuitas, al menos para uso personal. 
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Introducción 
a la seguridad 
de la información 





El mantra de todo buen ingeniero de seguridad 
es: "La seguridad no es un producto, sino un 
proceso." Se trata de algo más que implantar 
criptografía robusta en un sistema: se trata de 
diseñar el sistema entero de manera que todas 
las medidas de seguridad, incluyendo la 
criptografía, trabajen conjuntamente. 


BRUCE SCHNEIER 


2 Seguridad informática para empresas y particulares 


a informática se está extendiendo a todas las actividades profesionales y humanas. 

Según afirma el reglamento 460/2004 de la Comunidad Europea sobre la creación de 

la Agencia Europea de seguridad de las redes y de la información, “las redes de comu- 
nicaciones y los sistemas de información se han convertido en un factor esencial del desarro- 
llo económico y social. La informática y las redes se están convirtiendo en recursos 
omnipresentes, tal y como ha ocurrido con el suministro de agua y de electricidad. Por con- 
siguiente, la seguridad de las redes de comunicación y de los sistemas de información, y en 
particular su disponibilidad, es un asunto que preocupa cada vez más a la sociedad”. Pocas 
deben ser las empresas que en la actualidad no se hayan informatizado mínimamente. En el 
ámbito doméstico, cada día son más los hogares que cuentan con ordenador y conexión a 
Internet. Si está leyendo este libro es porque usted usa ordenadores y profesa un especial 
interés por ellos. La informática es una realidad que está aquí para quedarse. Como su nom- 
bre indica, su objetivo es manipular información de forma automática. En consecuencia, los 
ordenadores almacenan documentos, cartas, hojas de cálculo, imágenes, música, bases de 
datos con la información de clientes, nóminas, pedidos, facturación, cuentas bancarias, y un 
sinfín de otros muchos datos ya sean de carácter público o privado. Por otra parte, los orde- 
nadores también se utilizan para transmitir información a través del correo electrónico, de la 
Web, de la mensajería instantánea, de aplicaciones de intercambio de archivos entre particu- 
lares (P2P), del chat y de una variedad inimaginable de formas distintas. En resumen, los 
ordenadores crean, almacenan, manipulan, copian, comparten y transmiten información. 

Por desgracia, paralelamente al crecimiento del uso de la informática y de las redes de 
comunicaciones, se multiplica el número de incidentes de seguridad. Cuanto mayor es el 
volumen de información procesado y transferido informática y telemáticamente, mayor es el 
riesgo derivado de su pérdida, alteración o revelación. La seguridad de la información tiene 
por objetivo proteger a los sistemas informáticos frente a las amenazas a los que están ex- 
puestos. La aplicación de medidas de seguridad debe realizarse de manera planificada y 
racional, para evitar dirigir esfuerzos allí donde no hacían falta o no destinar suficientes 
recursos allí donde más falta hacían. Para que las medidas y mecanismos de protección 
resulten eficaces, deben integrarse dentro de un sistema más amplio de gestión de la seguri- 
dad de la información. Sin un plan director que guíe los esfuerzos de protección de los 
activos de la organización, por mucho dinero que se invierta en seguridad nunca se alcanza- 
rán niveles de seguridad satisfactorios. 

Todas las empresas grandes y pequeñas realizan una inversión en seguridad. Según la 
última encuesta del CSI/FBI realizada en EE.UU. sobre seguridad y crimen informático 
correspondiente al año 2003, el 99% de las empresas utilizan antivirus y el 98% también 
cortafuegos. Por tanto, todas son conscientes de amenazas frente a las que hay que proteger- 
se. Con el fin de dirigir eficientemente estos esfuerzos de protección, se vuelve imprescindi- 
ble realizar un mínimo ejercicio de análisis de riesgos para identificar los activos prioritarios 
a proteger, frente a qué amenazas, con qué riesgo y mediante qué medidas. En este capítulo 
se presenta en primer lugar el concepto de gestión de seguridad de la información, para 
ayudar a los lectores en la labor de diseñar un plan de seguridad para su organización, 
adaptado a sus necesidades. A continuación se resumen los hitos más destacados de la histo- 
ria de la seguridad informática. Por último, se introducen una serie de conceptos de seguri- 
dad básicos, tanto para empresas como particulares, muchos de los cuales serán manejados 
posteriormente a lo largo del libro. 


Gestión de seguridad de la información 


Todos los usuarios de informática, tanto si son particulares como si pertenecen al sector 
público o privado, poseen unas expectativas informales respecto a los ordenadores: esperan 
que al apretar el botón de encendido el ordenador conserve todos los datos tal y como los 
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dejaron el día anterior; cuando envían un mensaje de correo electrónico, esperan que llegue 
a su legítimo destinatario en un tiempo razonable sin perder los datos adjuntados; cuando 
acceden a la base de datos de nóminas, esperan que los sueldos y los nombres de los emplea- 
dos sean los auténticos y no hayan cambiado. En definitiva, los usuarios albergan gran can- 
tidad de expectativas que, por desgracia, no siempre se verán cumplidas: un fallo de hardware 
podría hacer perder los datos del disco; el mensaje de correo junto con su archivo adjunto 
podría ser interceptado por un intruso; un empleado desleal con excesivos privilegios de 
acceso podría manipular la aplicación de nóminas. 

Si no se toma ninguna medida de protección, la mayoría de expectativas respecto a la 
informática se verán defraudadas, ya que la información está expuesta a innumerables ame- 
nazas, cada una con una probabilidad de ocurrencia y un riesgo asociado variables: hackers 
externos, virus, gusanos y troyanos, empleados descontentos o sobornados, fallos de hardware 
o de software, interrupciones en el suministro eléctrico, fuegos, incendios e inundaciones, la 
lista sería interminable. La seguridad de la información es una disciplina que se ocupa de 
gestionar el riesgo dentro de los sistemas informáticos. Dicho de otro modo, mediante la 
aplicación de sus principios, se implantarán en los sistemas informáticos las medidas de 
seguridad capaces de contrarrestar las amenazas a que se encuentran expuestos los activos de 
la organización: la información y los elementos hardware y software que la soportan. No se 
trata de implantar sin ton ni son medidas de seguridad, tales como cortafuegos o cifrado de 
datos porque tal o cual tecnología está de moda o porque se cree que así se va a estar más 
seguro. Se trata más bien de evaluar los riesgos reales a los que la información está expuesta 
y mitigarlos mediante la aplicación de las medidas necesarias y en el grado adecuado, con el 
fin de satisfacer las expectativas de seguridad generadas. 


Expectativas y contextos de seguridad 


Por ejemplo, imagine que ha comprado un candado para proteger la funda de su portátil. 
Una falsa expectativa en torno al candado sería esperar que nadie puede robarle el portátil: se 
equivoca, podrían llevárselo con candado incluido. Otra falsa expectativa sería confiar en 
que nadie puede abrir la funda: nada más fácil, podrían cortarla con un cuchillo afilado. Por 
el contrario, una expectativa realista sería asumir que los compañeros de la oficina no acce- 
derán a su portátil mientras éste se encuentre en su funda. La probabilidad de que ellos lo 
roben o rompan la funda es prácticamente nula, por lo que su expectativa se verá cumplida. 
Como puede verse, una misma medida de seguridad, en el ejemplo un candado, puede resul- 
tar adecuada o inadecuada en función de las expectativas y del contexto donde se aplica. Si el 
objetivo de seguridad es “Mis compañeros del trabajo no accederán a mi portátil”, entonces 
el candado es una solución adecuada. Si el objetivo es “Ningún ladrón robará mi portátil”, 
entonces el candado es insuficiente. En ese caso, una medida de seguridad adecuada podría 
ser utilizar unas esposas. Si lleva el portátil esposado a su propia muñeca, su portátil no será 
despistado mientras lo deja en el suelo en el baño, o al sacar la cartera frente al mostrador de 
facturación, o mientras toma un café esperando el avión. Si el objetivo de seguridad es “Nin- 
gún asesino profesional robará mi portátil”, las esposas seguramente resultarán insuficien- 
tes: podrían obtener la llave poniéndole una pistola en la cabeza, o podrían cortarle la mano, 
o podrían matarle y cortarle la mano (en cualquier orden). Para protegerse frente al crimen 
organizado o frente a una potencia extranjera, posiblemente necesite un furgón blindado 
custodiado por guardias armados. Cada medida de seguridad debe aplicarse en función de un 
contexto determinado y sólo podrá satisfacer unas determinadas expectativas. Tan ridículo 
sería utilizar un furgón blindado con guardias jurados para proteger el portátil de la secreta- 
ria como utilizar un candado para protegerlo de una banda armada. Las medidas de seguri- 
dad no pueden entenderse fuera del contexto en el que se aplican ni al margen de las 
expectativas que buscan satisfacer. Si el objetivo es “Nadie accederá a los datos de mi portá- 
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til”, entonces la medida más adecuada puede ser cifrar el disco: podrán robarle su portátil, 
pero no accederán a su información. 

Otros factores que no pueden dejarse de lado al considerar las diversas medidas de segu- 
ridad son su coste de adquisición, de mantenimiento y de operación, su facilidad de uso, su 
aceptación entre los usuarios, la percepción de los clientes, su efectividad, etc. Un candado 
es una medida de seguridad barata, fácil de usar, no requiere mantenimiento ni formación, si 
es pequeño resulta discreto, es ampliamente aceptado entre los usuarios, pero solamente 
resultará eficaz en un contexto determinado y para dar satisfacción a un objetivo concreto. Si 
el contexto o el objetivo cambian, entonces dicha medida de seguridad puede resultar total- 
mente inadecuada. La mayoría de medidas de seguridad resultan insuficientes si se implan- 
tan aisladamente, por lo que deben combinarse con otras muchas. Individualmente protegen 
frente a ciertas amenazas, mientras que colectivamente protegen frente a todas las amenazas 
esperadas. Nótese que no se dice que protejan frente a todas las amenazas imaginables, sino 
solamente frente a aquellas amenazas que se consideren realistas. Las medidas de seguridad 
de una bicicleta, un coche, un avión y un trasbordador espacial son diversas, pero en general 
todas resultan apropiadas para el contexto en el que se aplican. 


Gestión del riesgo 


Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar deben 
reducirse a niveles aceptables. La determinación de este nivel dependerá en gran medida de 
los objetivos concretos de la organización, del valor de sus activos, de su dimensión y presu- 
puesto de seguridad. Lo más sorprendente es que esta reducción del riesgo se puede conse- 
guir con muy poco esfuerzo y una modesta inversión. Contrariamente a lo que tiende a 
pensarse, ni todas las amenazas de seguridad se deben a ataques maliciosos ni todos los 
ataques provienen desde el exterior. En primer lugar, la mayoría de problemas de seguridad 
reales a las que se ven expuestos los activos no tienen que ver con ataques informáticos, sino 
con fallos de hardware o software, errores de programación o administración, robo, fraude y 
extorsión, demandas legales, infracción de derechos de autor o ingeniería social, por citar 
algunas. En segundo lugar, los usuarios internos suponen la mayor fuente de amenazas: son 
los que mejor conocen el sistema, poseen acceso a veces ilimitado al mismo, saben cuáles son 
los activos más valiosos, en definitiva, pueden causar el daño mayor y con la mayor impuni- 
dad. En consecuencia, no todas las medidas de seguridad ni las más importantes deben 
basarse en la tecnología y por tanto en la adquisición de software o hardware de seguridad, 
sino también en la organización de tareas y responsabilidades, en la gestión racional de 
procesos y en la formación y concienciación del personal. La seguridad de la información 
requiere un enfoque holístico, que implique la participación coordinada de tecnología, per- 
sonas y operaciones. Su objetivo no es conseguir sistemas 100% seguros, espejismo imposi- 
ble de alcanzar, sino sistemas tan seguros como sea necesario para proteger los activos con 
un nivel que se corresponda con las expectativas. Recuerde: 


El riesgo no puede eliminarse completamente, pero puede reducirse. 


La seguridad de la información trata por tanto de proteger activos, tanto tangibles, como 
por ejemplo un disco duro o una base de datos con la información de clientes, como intangibles, 
como por ejemplo la reputación, la privacidad o el nombre de marca. Antes de lanzarse 
ciegamente a implantar medidas de seguridad que no se sabe muy bien qué es lo que van a 
proteger ni contra qué, se debe realizar una labor previa de análisis: 


Identificar cuáles son los activos a proteger de la organización: ¿Qué activos son los 
más valiosos? ¿Cuál es su valor? ¿Cuánto cuesta reponerlos si se pierden o degra- 
dan? ¿Es posible reponerlos? 
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A Identificar las amenazas a que están expuestos los activos: ¿Cuáles son las amenazas 

naturales y humanas? ¿Qué agentes pueden realizar esas amenazas? ¿En qué cir- 

cunstancias pueden producirse? 

Identificar los riesgos que suponen las amenazas para los activos: ¿Cuál es la proba- 

bilidad de que ocurra una amenaza? ¿Cuál es el coste tangible o intangible para la 

organización si la amenaza se materializa en un ataque? 

8 Identificar y evaluar el coste de las contramedidas a implantar para reducir o mitigar 
el riesgo: ¿De qué manera puede mitigarse el riesgo? ¿Cuánto cuesta implantar una 
contramedida? ¿Cuál es su eficacia? 


D> 


Por supuesto, este tipo de análisis no es en absoluto sencillo. Debido a su complejidad, 
existen numerosas metodologías para la evaluación de riesgos, cada una haciendo hincapié 
en unos u otros aspectos. Una de las mayores dificultades prácticas de toda evaluación con- 
siste en cuantificar el valor de los activos y el coste asociado a los riesgos. Suelen utilizarse 
medidas cuantitativas, por ejemplo, la clasificación de riesgos en función de su coste econó- 
mico para la organización, y medidas cualitativas, por ejemplo, la ordenación de las amena- 
zas en función de su nivel de riesgo y en función del escenario de ataque. Otra fuente de 
requisitos de seguridad viene dada por el conjunto de obligaciones legales, estatutarias y 
regulatorias que deberá satisfacer la organización, como por ejemplo, la Ley Orgánica de 
Protección de Datos de Carácter Personal (LOPD). Por último, los propios principios y obje- 
tivos de la organización impondrán sus requisitos particulares para sostener sus operaciones. 
En la sección “La seguridad en la empresa” más adelante en este mismo capítulo se explica 
con más detalle el análisis de riesgos y las metodologías y herramientas disponibles. 

Como resultado de este análisis, la organización habrá creado una lista de expectativas, 
del tipo: 


“El servidor de comercio electrónico no estará fuera de servicio durante más de cinco 
minutos al año”. 


A “Ningún empleado podrá ejecutar en su puesto de trabajo más software que el auto- 
rizado expresamente por el administrador”. 
A “Ningún usuario podrá enviar o recibir mensajes de correo electrónico con archivos 


adjuntos”. 

“Todos los usuarios deberán cambiar su contraseña una vez al mes. Los usuarios del 
servidor de base de datos deberán utilizar un mecanismo de control de acceso de 
mayor seguridad no basado en contraseñas”. 

8 “Toda la información relativa a los proyectos, como ofertas, estudios de viabilidad, 
informes preliminares, entregables, etc., se mantendrá estrictamente confidencial 
tanto durante su almacenamiento como durante su transmisión a los clientes, tanto 
dentro como fuera de la empresa”. 


Cada organización deberá crear una lista semejante, con sus propias prioridades. A me- 
nudo, estas listas no están escritas ni formalizadas, sino que se asumen de manera tácita. 
Incluso los usuarios particulares poseen listas semejantes, aunque sólo sea en su cabeza. Al 
no existir una dirección definida ni objetivos claramente formulados, se implantan medidas 
de seguridad dispersas, sin documentar ni planificar, por lo que no siempre resultan adecua- 
das. Por el contrario, como fruto de un análisis de riesgos, se implantarán medidas de segu- 
ridad para combatir aquellas amenazas cuyo impacto resulta crítico o que pueden 
materializarse con mayor frecuencia, es decir, se trata de proteger los activos cuyo riesgo es 
mayor, según se observa en la Figura 1.1. Normalmente, para combatir una amenaza se 
intenta reducir o mitigar su riesgo mediante la implantación de salvaguardas o contramedidas. 
Una segunda posibilidad consiste en transferir el riesgo a otra organización, por ejemplo, 
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Alto riesgo 


VALOR ALTO 
EXPOSICION ALTA 


Valor del activo 


VALOR BAJO 
EXPOSICION ALTA 





Bajo riesgo 


e 
Exposición 


Figura 1.1. Matriz de riesgos. Cuanto mayor es el valor del activo y mayor es su grado de 
exposición a amenazas, mayor es su riesgo y más prioritaria la exigencia de 
protegerlo. 


contratando un seguro. La tercera posibilidad consiste en asumir el riesgo, es decir, se acepta 
tal como es, debido a que la probabilidad de que ocurra es demasiado pequeña o porque su 
coste si ocurre es inferior al de la contramedida. Al final del proceso quedará un riesgo 
residual, pero aceptado por la dirección. 

El análisis, la planificación y la definición de unos objetivos de seguridad colaboran para 
que las medidas se implanten correctamente y no dificulten las actividades cotidianas. Como 
resultado, se disminuye el riesgo cumpliéndose las expectativas de seguridad. Si no se satis- 
facen las expectativas, habrá que revisar todo el proceso con el fin de mejorar las 
contramedidas, lo que puede suponer una mayor inversión, o una mejor formación y 
concienciación del personal, o una redefinición de los objetivos tal vez demasiado ambicio- 
sos, o una aplicación más eficiente de la tecnología. Se sigue por tanto un proceso iterativo, 
hasta que las expectativas se vean siempre cumplidas, con el mínimo coste de tiempo y 
dinero, a la vez que se garantiza la operación normal del negocio. Después de todo, el obje- 
tivo último y prioritario de la seguridad, su verdadera razón de ser, es que la organización 
pueda cumplir su misión. 

La seguridad de la información implica el diseño y aplicación de un conjunto de medidas 
de seguridad interrelacionado de formas muy complejas. Se suele comparar la seguridad de 
la información con una cadena, donde cada uno de los numerosos elementos que conforman 
un sistema informático se asemeja a un eslabón. Un error muy frecuente consiste en extre- 
mar las precauciones contra ciertos tipos de amenazas, olvidando otras vías de ataque. Por 
ejemplo, durante años se ha considerado al cortafuegos como el Santo Grial de la seguridad. 
Se pensaba que con instalar un cortafuegos se solventaban todos los problemas de seguridad. 
Si se añadía protección antivirus perimetral, entonces ya se estaba blindando. En definitiva, 
todos los esfuerzos se concentraban en proteger el perímetro frente a ataques externos, pa- 
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sando por alto la amenaza interna: es verdad que los virus no entraban por Internet, los 
traían usuarios en disquetes; es verdad que ningún hacker accedía a la base de datos desde 
Internet, lo hacía un empleado desleal que vendía la información de clientes a la competen- 
cia; es cierto que ningún espía robaba los datos del ordenador del director, lo hacía la señora 
de la limpieza que salía con él bajo el brazo; puede afirmarse que ningún intruso obtuvo por 
fuerza bruta la contraseña para acceder al SAP, se la reveló la solícita secretaria ante una 
supuesta llamada del departamento de recursos humanos. En todos los casos se fortalecieron 
unos eslabones, pero otros resultaron muy débiles. Piense que: 


La cadena siempre se rompe por el eslabón más débil. 


Si se quiere alcanzar un nivel de seguridad aceptable, siempre según unas expectativas 
realistas, deben localizarse los eslabones más débiles y fortalecerlos. Si la cadena tiene mil 
eslabones, basta con que uno solo sea débil, para que se rompa por él. Que un intruso lo 
encuentre, será cuestión de tiempo o de suerte, pero debe asumirse que tarde o temprano será 
descubierto. No sirve de nada aumentar más aún la seguridad de los eslabones más fuertes. 
Mientras sigan existiendo eslabones débiles, la seguridad global del sistema será idéntica. 


Amenazas a la información 


La disciplina de la seguridad informática no dista mucho de la seguridad tradicional. De 
igual modo que se pueden cometer delitos en el mundo físico, dentro del mundo digital 
también existen: alguien puede substraer dinero de cuentas de Internet, se puede robar docu- 
mentación importante a través de la red o se puede tirar abajo un servidor Web de comercio 
electrónico. En suma, existen múltiples delitos dentro del mundo digital, todos ellos ligados 
a la información que se aloja en sistemas o que se transmite por las redes de comunicaciones. 

Las amenazas a la información en una red pueden caracterizarse modelando el sistema 
como un flujo de información desde una fuente, como por ejemplo un archivo o una región 
de la memoria principal, a un destino, como por ejemplo otro archivo o un usuario. Las 
cuatro categorías generales de ataques son las siguientes, ilustradas esquemáticamente en la 
Figura 1.2: 


Creación de información: Si se inyecta información nueva que antes no existía den- 

tro de un sistema se está atentando contra la seguridad del mismo. Por ejemplo, la 

creación de una cuenta inexistente en un banco de Internet o la adición de registros a 

una base de datos. 

Modificación de información: La alteración de información dentro de los sistemas o 

mientras viaja por redes de comunicaciones representa un ataque contra la integri- 

dad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, mani- 
pular un programa para que funcione de forma diferente o modificar el contenido de 
mensajes que están siendo transferidos por la red. 

A  Intercepción de información: Los sistemas informáticos albergan a menudo informa- 
ción sensible, que sólo debería ser accedida por un grupo autorizado de personas. Si 
alguien ajeno a este grupo accede a dichos datos se estará incurriendo en un ataque 
contra la confidencialidad de la información. Como ejemplos se pueden citar el pin- 
char una línea para hacerse con datos que circulen por la red, la copia ilícita de 
ficheros O programas secretos o privados o incluso la lectura de las cabeceras de 
paquetes para desvelar la identidad de uno o más de los usuarios implicados en una 
comunicación observada ilegalmente. 

8 Interrupción de la información: Los atacantes también pueden alterar la disponibili- 
dad de los datos alojados en los sistemas o los que viajan por las redes de comunica- 


D> 
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Figura 1.2. Ataques contra la seguridad de la información: a) flujo normal; b) interrupción; 
c) intercepción; d) modificación; e) creación. 


ciones. Por tanto, la seguridad informática se ocupará de ser la garante de que la 
información esté disponible para todo aquel que la necesite y durante todo el tiempo 
que sea necesario. Ejemplos de este tipo de ataque son la destrucción de un elemento 
hardware, como un disco duro, el corte de una línea de comunicación o la caída del 
servidor Web de comercio electrónico. 


Gestión de la seguridad en el espacio 


Todos los productos existentes en el mercado de seguridad informática cumplen una función 
de entre las siguientes: 


Prevenir: Aumentan el nivel de seguridad evitando que los ataques tengan éxito. El 

ejemplo clásico es el cortafuegos. 

Detectar: Se encargan de velar por que todo esté en orden y de alertar cuando se 

produce una anomalía, normalmente debida a un intruso. Un ejemplo típico es un 

sistema de detección de intrusos o IDS. 

S Recuperar: Garantizan que ante un incidente de seguridad, causado o fortuito, se 
pueda recuperar toda la información y retornar a la normalidad en un tiempo míni- 
mo. El ejemplo más conocido lo constituyen las copias de seguridad. 


D> 


Estos tres pilares se realimentan unos a otros, según la relación mostrada en la Figu- 
ra 1.3: la prevención evita el tener que recurrir a la recuperación, mientras que la detección 
facilita la recuperación y realimenta la prevención. Para que un sistema sea razonablemente 
seguro, deben implantarse los tres tipos de medidas coordinadamente. Si sólo se aplican 
medidas preventivas, un ataque que las traspase no será detectado y será difícil recuperarse 
de sus daños. Si sólo se implantan medidas de detección, al no ser impedidos los ataques, 
continuamente estarán dando la alarma. Los efectos de aquellos ataques que pasen desaper- 
cibidos serán difíciles de paliar. Por último, si sólo se instalan medidas de recuperación, será 
tal el número de ataques que causen daños, que se pasará más tiempo restaurando los datos 
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Figura 1.3. Controles de seguridad: Prevenir, detectar y recuperar. 


que trabajando. Otros muchos efectos de los ataques ni siquiera se podrán subsanar. Para 
complementar estos controles de seguridad, se suelen añadir otros dos: los disuasorios y los 
correctivos. Todos ellos se resumen en la Tabla 1.1. 


Estos controles pueden ser físicos, técnicos o administrativos, pudiendo corresponder a 
su vez a los diferentes tipos enumerados en la Tabla 1.1: 


Los controles físicos incluyen el uso de candados, guardias de seguridad, tarjetas de 
identificación, alarmas, puertas blindadas, rejas y vallas, etc., en cuanto a la protec- 
ción de locales. Por otro lado, se aplican controles similares para la protección del 


Tabla 1.1. 


Control 


Preventivo 


Detectivo 


Disuasorio 


Correctivo 


Recuperativo 


Descripción 


Intenta evitar la ocurrencia 

de sucesos indeseados 

Intenta identificar sucesos 
indeseados después de que 
hayan ocurrido 

Intenta disuadir a los individuos 
de violar intencionadamente 

las políticas o procedimientos 
de seguridad 


Intenta remediar las circunstancias 
que permitieron la actividad 
ilegítima o devolver el sistema 

al estado anterior a la violación 
Intenta restaurar los recursos 
perdidos y ayudar a la 
organización a recuperarse de las 
pérdidas económicas causadas 

por la violación 


Controles de seguridad de la información. 


Ejemplos 


Cortafuegos en el perímetro o filtrado 
de virus en la pasarela de correo 

IDS de red o firmas de archivos 

para detectar cambios en el sistema 
de archivos 

Amenaza de despido por violación 

de políticas de seguridad o bloqueo 
de cuentas tras un determinado 
número de intentos de inicio 

de sesión fallidos 

Reconfiguración automática de reglas 
del cortafuegos o eliminación 

de un virus y actualización 

de sus firmas 

Copias de respaldo o planes 

de continuidad de negocio y 

de recuperación de desastres 
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equipamiento informático frente a hurtos y daños por fallos eléctricos, incendios, 

inundaciones, etc. Este tipo de controles físicos se trata en la sección “Protección del 

entorno” del Capítulo 3. 

Los controles técnicos implican el uso de contramedidas incorporadas en el hardware, 

en el software de aplicaciones, en los dispositivos de comunicaciones, etc. Este tipo 

de controles recibe asimismo el nombre de controles lógicos. Comprenden los 
cortafuegos, antivirus, sistemas de detección de intrusos (IDS), el cifrado, el control 
de acceso, los rastros de auditoría, etc. 

S Los controles administrativos comprenden el conjunto de reglas de la Dirección y 
procedimientos operativos para proporcionar un grado de protección adecuado a los 
sistemas de información. Tienen que ver más con la administración de recursos hu- 
manos y políticas que con controles hardware y software. Entre los controles más 
importantes de este tipo se encuentran las políticas y procedimientos de seguridad, la 
formación y concienciación en seguridad del personal, la comprobación del historial 
del personal en los procesos de selección, la supervisión del trabajo de los emplea- 
dos, la separación de funciones, los planes de recuperación de desastres y de conti- 
nuidad de negocio, etc. 


D> 


Evidentemente, estos controles pueden combinarse para cumplir un objetivo o utilizarse 
de forma independiente. Por ejemplo, si un objetivo de seguridad se plantea como “Evitar 
que los empleados naveguen por Internet en horas de trabajo”, pueden utilizarse controles de 
diferentes tipos. Podría aislarse de Internet a los ordenadores de los empleados, utilizándose 
un único ordenador público compartido con conexión a Internet por todos ellos para navegar 
o leer el correo. Como solamente hay un ordenador con Internet en toda la oficina, su uso se 
restringe a actividades profesionales. Esta solución, adoptada en muchas empresas, presenta 
el inconveniente de la pérdida de productividad cuando los empleados necesitan legítima- 
mente acceso a Internet. En este caso, podría optarse por aplicar un control técnico o lógico, 
consistente en utilizar software de filtrado de contenidos en el proxy de acceso a Internet, de 
manera que se bloqueen contenidos no relacionados con el trabajo. Esta solución implica 
una inversión en el producto de filtrado y podría dar pie a problemas de violación de privacidad 
de los empleados. Una tercera solución consistiría en afrontar el problema desde el punto de 
vista administrativo. No se restringe lógicamente el acceso a Internet, pero los empleados 
firman un acuerdo de uso aceptable de los recursos informáticos, que excluye la navegación 
por motivos no relacionados con el trabajo, con sanciones previstas por su violación. Esta 
solución no presenta merma de la productividad ni exige un desembolso en equipamiento, 
pero delega la responsabilidad en los propios empleados, pudiendo dar lugar a situaciones 
incómodas si se detecta que alguno incumple el código de ética de la empresa. En los tres 
casos se está aplicando una medida de seguridad totalmente diferente orientada a conseguir 
un objetivo concreto. Representan tres enfoques distintos, cada uno con sus ventajas e incon- 
venientes, demostrando que no existe una solución única para un mismo problema y que la 
seguridad no siempre debe abordarse desde la tecnología. 

De hecho, la seguridad informática debe entenderse como un proceso continuo y no como 
una serie de productos. En el presente libro, el lector podrá familiarizarse con múltiples 
conceptos de seguridad y así obtener un conocimiento que le permita entender la seguridad 
desde una perspectiva global. La aparición constante de nuevos agujeros de seguridad, el 
descubrimiento de técnicas de ataque diferentes, la modificación de los objetivos y expecta- 
tivas de seguridad, así como la variación de los activos de información a proteger, hacen 
necesario un trabajo continuo de mantenimiento de la seguridad. A las posibles amenazas 
hay que añadir las propias modificaciones que los administradores aconsejen en los equipos 
y dispositivos de su propia red, que también deben considerarse desde el punto de vista de la 
seguridad. 
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Gestión de la seguridad en el tiempo 


Desde una perspectiva temporal, la gestión de la seguridad informática debe plantearse des- 
de una estrategia de actuación cíclica que puede subdividirse para su acometida en tres tareas 
principales: 


Alcanzar la seguridad: Primero se debe garantizar que la plataforma, sistemas y 
redes, poseen un nivel de seguridad que se corresponde con las expectativas de la 
organización. Alcanzar este nivel de seguridad exige: fortalecer el sistema operativo, 
las comunicaciones de red y las aplicaciones que se ejecutan en los sistemas; adquirir 
equipos para prevenir ataques de hackers y virus; equipos que detecten estos ataques; 
generar rastros de auditoría para poder dar cuenta de las acciones de los usuarios 
legítimos e ilegítimos; instalar infraestructuras de control de acceso remoto; etc. 

A Mantener la seguridad: Para garantizar que los sistemas se mantengan seguros a lo 
largo del tiempo habrá que desarrollar todo un grupo de políticas, normativas y pro- 
cedimientos que garanticen que el trabajo del día a día no vulnera la seguridad exis- 
tente. Adicionalmente, el mantenimiento y la evolución de la plataforma se realizarán 
de tal manera que no se vea afectada la seguridad de la organización. 

S Evaluar la seguridad: Se debe realizar en paralelo una monitorización y comproba- 
ción periódica de que todos los sistemas de seguridad implicados funcionan tal y 
como se especifica en la política establecida y que los niveles de seguridad plantea- 
dos como objetivo se corresponden con los que existen realmente. Es necesario cono- 
cer el grado real de seguridad que se posee, no el que se cree poseer. Este tipo de 
auditorías ayudan a identificar medidas de seguridad inexistentes, ineficaces o inne- 
cesarias. 


La gestión de la seguridad se convierte por tanto en un proceso cíclico porque las amena- 
zas, los activos y las expectativas se encuentran en continuo cambio: como resultado de la 
evaluación se confirmará si las medidas de control continúan siendo eficaces y adecuadas y, 
en caso negativo, se implantarán nuevas medidas para alcanzar un nivel de seguridad supe- 
rior que habrá que mantener a lo largo del tiempo. Así se completa un nuevo ciclo de la 
gestión de la seguridad y vuelta a empezar, tal y como se aprecia en la Figura 1.4. 


Seguridad frente a Comodidad 


Siempre debe buscarse un equilibrio entre seguridad y comodidad. El fin de la informática es 
ayudar a la organización a sacar adelante su negocio. S1 las medidas de seguridad entorpecen 


Mantener 


/ Seguridad 


| de Evaluar 
la información 


Alcanzar / 
Le 


Figura 1.4. El ciclo de la gestión de la seguridad. 
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el trabajo de los empleados, entonces la seguridad se percibirá como un enemigo odioso, 
como una pesada carga con la que convivir y a evitar siempre que sea posible. Por ejemplo, 
si se exige a los empleados el uso de claves de 16 caracteres que se cambian cada semana, del 
tipo W+fe4$7*aQ1.lv6c), entonces terminarán apuntándolas en un post-it sobre el monitor. 
Otro ejemplo típico en el que los usuarios se saltan las medidas de seguridad es con los 
antivirus: si el ordenador carece de la capacidad suficiente o el antivirus se configura pobre- 
mente o está mal diseñado, el escaneo continuo de disco y memoria puede llegar a consumir 
todos los recursos del equipo, impidiendo el trabajo. ¿La solución adoptada por muchos 
usuarios? Desactivarlo, pues, ante todo, tienen que sacar adelante su trabajo. Como se obser- 
va en estos ejemplos muy frecuentes, al final la medida de seguridad resulta contraproducen- 
te. Cifrar todos los datos o realizar copias de respaldo cada minuto puede disminuir el 
rendimiento. Obligar a los clientes a utilizar certificados digitales para cifrar y firmar las 
comunicaciones digitales puede conducir a la pérdida de algunos. No tiene mayor sentido 
buscar la seguridad a toda costa, sino que debe encontrarse un compromiso entre seguridad 
y comodidad de uso. Los usuarios deben estar informados de las razones de las medidas de 
seguridad. S1 entienden por qué se instauran ciertos controles, su ánimo será más cooperati- 
vo. Este compromiso se representa gráficamente en la Figura 1.5, donde la línea de puntos 
indica cómo a mayor seguridad, menor comodidad y viceversa. 


Planificación de la seguridad 


Cuando se improvisa sobre la marcha, se va reaccionando a las amenazas según éstas se 
presentan. Un día se pierden todos los datos críticos por un fallo de hardware y a partir de 
entonces se pone en práctica una política de copias de respaldo, redundancia de hardware y 
almacenamiento distribuido para que no vuelva a pasar. Otro día un hacker entra en el 
servidor Web, modifica la página principal y roba la base de datos de clientes, así que a partir 
de entonces se instalan cortafuegos, se segmenta la red, se fortalece el servidor Web que pasa 
a ubicarse en la recién creada DMZ y se aísla al servidor de base de datos. De esta manera tan 
poco agradecida se va avanzando a trancas y barrancas, a base de desastres. 

Salta a la vista que una organización que solucione sus problemas mediante parcheos de 
última hora está abocada al fracaso más que al éxito. Un componente clave para la buena 
marcha del negocio radica en una buena planificación, con el fin de extraer el máximo 
partido de los recursos disponibles. Sin entrar en los detalles de los diferentes modelos de la 
planificación empresarial, sí que merece la pena resaltar algunos conceptos fundamentales, 


Comodidad 
/ 


Seguridad 


Figura 1.5. Compromiso entre seguridad y comodidad. Cuanto más seguro es un 
sistema, normalmente más incómodo resulta trabajar con él y viceversa. 
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que fácilmente pueden guiar a cualquier empresa en la planificación de su seguridad. Estos 
niveles de planificación y su jerarquía se han representado gráficamente en la Figura 1.6. 


La planificación estratégica: Se realiza en los niveles directivos más altos y se ocupa 
de los objetivos a largo plazo de la organización, de cinco o más años. Normalmente, 
la estrategia de seguridad dimana de una estrategia más general que atañe a toda la 
organización, pero que se centra en objetivos específicos de seguridad de la informa- 
ción. Por ejemplo, una empresa cuya estrategia general se formule como “Proporcio- 
nar el servicio a través de Internet de formación de programadores en Java de mejor 
calidad y con las mayores garantías del mercado”, puede reformular este objetivo 
estratégico como: “Asegurar que los servicios de formación se proporcionan de ma- 
nera segura, sin fraudes y en conformidad con los requisitos legales de la LOPD y la 
LSSICE”. 

A La planificación táctica: Las frases generales de la planificación estratégica, apenas 
más que eslóganes, deben ir transformándose hacia objetivos más concretos y aplica- 
dos. Los planes estratégicos deben utilizarse para crear planes tácticos, más centra- 
dos en el corto plazo, como mucho a tres años. Los objetivos a largo plazo de la 
planificación estratégica se descomponen en objetivos más inmediatos, con fechas 
fijadas para su consecución. La planificación táctica normalmente implica la contra- 
tación o acometida de proyectos, la adquisición de productos, elaboración de presu- 
puestos y la elaboración de informes mensuales y anuales. El objetivo general de la 
Dirección se traduce en objetivos más concretos: “Todos los accesos externos a la 
intranet de alumnos deben estar estrictamente controlados”, “Todo el personal de la 
empresa debe recibir formación y concienciación en seguridad”, etc. 

S La planificación operativa: Los planes operativos se derivan de los planes tácticos 
con el fin de organizar las tareas del día a día. Siguiendo con el ejemplo, la planifi- 
cación táctica de la seguridad incluye objetivos como la selección, configuración y 
despliegue de un cortafuegos o el diseño y la implantación de un programa de educa- 
ción, formación y concienciación de usuarios en materia de seguridad. De esta mane- 
ra, se va dando forma concreta a los objetivos tácticos. 


Estrategia de 
la Organización 


Estrategia de TI 


Estrategia de 
seguridad de la información 


Planificación táctica de 
seguridad de la información 


Planificación operativa de 
seguridad de la información 


Figura 1.6. Pirámide de la planificación de la seguridad. 


14 Seguridad informática para empresas y particulares 


Políticas de seguridad 


La planificación ayuda a plantearse objetivos realistas y definir las líneas de actuación que 
permitan alcanzarlos. Una de las mejores formas de plasmar la actitud y expectativas de una 
empresa y la conducta esperada de todos sus miembros en materia de seguridad consiste en 
la elaboración de políticas de seguridad. Las políticas delinean las reglas que la organización 
espera sean seguidas por sus miembros y las consecuencias derivadas de no cumplirlas. 
Constituyen la piedra angular para la implantación de la seguridad. Las políticas pueden 
afectar a todos los recursos de la organización: hardware, software, accesos, personal, comu- 
nicaciones, redes, contratación de personal, etc., debiendo contemplar las áreas considera- 
das como más importantes para la organización. Normalmente, en lugar de crearse un único 
documento que las cubra todas, suele subdividirse en varios documentos individuales. De 
esta manera, se facilita su comprensión y lectura, su distribución, su actualización cuando se 
realizan cambios y mejoras, así como la formación de personal en cada área. En general, el 
número de políticas se corresponde con el número de áreas identificadas en los objetivos de 
seguridad. 

Una política de seguridad de la información completa y sólida suele comprender tres 
tipos de políticas de seguridad: 


Política de seguridad de la información a nivel empresarial (Enterprise Information 

Security Policy o EISP): Cubre aspectos de interés para toda la empresa. Es la prime- 

ra en crearse. A partir de ella se van elaborando las demás centradas en resolver 

problemas específicos. La política no debe experimentar cambios frecuentes, pues 

perdería credibilidad, debe ser firmada por la alta Dirección y estar en consonancia 

con la estrategia general de la organización. 

A Políticas de seguridad de asuntos específicos (/ssue-Specific Security Policy o ISSP): 
Se ocupa de asuntos específicos, como un determinado servicio de red, departamento 
o función, que no atañe a la organización en su conjunto. Normalmente constituyen 
una guía detallada para instruir a todo el personal en el uso de sistemas basados en la 
tecnología. Su propósito no es perseguir las acciones de los usuarios sino sentar las 
bases de lo que se considera un uso adecuado e inadecuado de la tecnología. Pueden 
cubrir temas como uso del correo electrónico, uso de la navegación Web, uso de 
fotocopiadoras e impresoras, uso del teléfono, uso de recursos de la empresa en el 
hogar, etc. 

8 Políticas de seguridad de sistemas específicos (System-Specific Policy o SysSP): 
Se concentran en sistemas individuales o tipos de sistemas y prescriben el hardware 
y software aprobados, delinean métodos para fortalecer un sistema o especifican los 
tipos de cortafuegos u otras medidas de control. Normalmente funcionan como 
estándares o procedimientos a la hora de configurar o mantener sistemas. 


Desde otro punto de vista, las políticas se pueden clasificar como regulatorias, que discu- 
ten las regulaciones y los procedimientos a seguir cuando se aplica algún tipo de legislación 
o cumplimiento a la actividad de la organización; consultivas, que definen los comporta- 
mientos y actividades aceptables y las consecuencias de su violación, correspondiendo a esta 
categoría la mayor parte de las políticas; e informativas, que proporcionan información o 
conocimientos acerca de temas específicos, como objetivos de la organización o interacciones 
con clientes y proveedores, no siendo su cumplimiento obligatorio. 

Las políticas no deben quedarse sobre el papel, sino que deben implantarse en la organi- 
zación. Con tal fin, los objetivos de seguridad se formalizan, concretan y desarrollan me- 
diante la creación de una jerarquía de documentación, de manera que cada nivel se concentra 
en un tipo o categoría de información y de problemas. En el nivel más alto, se encuentran las 
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políticas de seguridad, que resumen o generalizan las necesidades de seguridad de la organi- 
zación. 

El siguiente nivel lo constituyen los estándares, que definen los requisitos obligatorios 
para el uso homogéneo de hardware, software, tecnología y controles de seguridad. En el 
último nivel se encuentran las normas, directrices y procedimientos. 


Políticas: Documentos estratégicos que especifican reglas que deben seguirse o re- 
quisitos de seguridad sobre los activos. Reciben la aprobación y apoyo de la más alta 
Dirección. Describen la seguridad en términos generales, sin entrar en detalles. Por 
ejemplo, una política de “Uso aceptable” podría cubrir las reglas y regulaciones para 
el uso de los recursos informáticos de la empresa y las sanciones por uso inapropia- 
do. Para que sean efectivas, deben hacerse llegar hasta todos los miembros de la 
organización, quienes deben leerlas, comprenderlas y dar su conformidad. La adhe- 
sión de todos los miembros puede conseguirse por dos vías: mediante la firma del 
contrato laboral, que incluye entre sus cláusulas el contenido de la política o median- 
te la firma de un código ético o de buenas prácticas, que asimismo recoge el conten1- 
do de la política. 

A Estándares: Documentos tácticos que especifican el uso de la tecnologia de una ma- 
nera uniforme con el fin de cumplir los objetivos definidos en las políticas de seguri- 
dad. Esta estandarización de los procedimientos operativos beneficia a la organización 
al especificar las metodologías uniformes a utilizar en la implantación de medidas de 
seguridad. Los estándares normalmente son obligatorios y se implantan en toda la 
organización para conseguir homogeneidad. 

§ Normas, directrices y procedimientos: Las normas definen el mínimo nivel de segu- 
ridad que cada sistema de la organización debe cumplir. Las directrices son reco- 
mendaciones que conviene seguir, pero no obligatoriamente. Son más flexibles que 
los estándares, ya que pueden personalizarse para cada sistema o situación únicos. 
Por último, los procedimientos comprenden los pasos detallados a seguir para reali- 
zar una tarea específica. Suelen considerarse el escalón más bajo de la pirámide 
de las políticas. Su propósito consiste en proporcionar los pasos detallados para im- 
plantar las políticas, estándares, normas y directrices previamente creados. Las listas 
de comprobación (checklists) o guías de instalación y uso (how-to) son ejemplos 
típicos. 


No se deben aglutinar los distintos niveles de documentación en un único documento, 
sino que cada uno debe existir como una entidad separada, organizados de forma jerárquica, 
como se representa en la Figura 1.7. En la cúspide de la pirámide, correspondiente a las 
políticas de seguridad, existirán unos pocos documentos, ya que su objetivo consiste en deli- 
near la visión y objetivos generales de seguridad. Al descender por la pirámide, estándares, 
normas, directrices y procedimientos, el número de documentos crece, puesto que contienen 
detalles específicos correspondientes a un número limitado de sistemas, redes y áreas. Sepa- 
rando los documentos se facilita su mantenimiento y redistribución cuando se producen 
cambios y se posibilita proporcionar a cada usuario aquellos documentos que le puedan 
interesar. 

Un buen punto de partida para crear una política de seguridad para su empresa se en- 
cuentra en www.sans.org/resources/policies. Ofrece numerosas políticas de ejemplo que pueden 
tomarse como plantillas para desarrollar las políticas propias. 

En muchas empresas, especialmente las de reducido tamaño, se tiene una percep- 
ción negativa de las políticas de seguridad, ya que se piensa que constituyen una pérdida 
de tiempo o de productividad o que sólo sirven para restringir y poner trabas al trabajo 
cotidiano. 


16 Seguridad informática para empresas y particulares 


























os Aprobadas por la más alta 
dirección de la organización 



































Políticas 














Al Estándares A A 
ES Construidos a partir de políticas sólidas. 


Requieren que primero se establezcan 
éstas. 


























































































































a ES ` Pasos detallados que, al ser 
seguidos, complen los requisitos 
de los estándares 





































































































Normas Directrices Procedimientos 


Figura 1.7. Estructura jerárquica de documentación de seguridad. 


Esta visión negativa normalmente se deriva de una tensión entre las diferentes perspecti- 
vas de los miembros de una organización con respecto a los controles de seguridad: 


A los usuarios no les gusta que les impongan reglas ni que los controlen, normal- 

mente les importa sacar adelante su trabajo sin que anden poniéndoles trabas. 

A El personal informático prefiere tener el sistema que administra bajo control, sin 
excesivas libertades para los usuarios, que habitualmente se traducen en más trabajo 
para ellos por tener que deshacer entuertos. 

8 La dirección está preocupada por los costes planteados por la supuesta protección 
frente a las supuestas amenazas. 


De estos tres grupos, normalmente los más afectados por la políticas serán los usuarios de 
sistemas. A los administradores las políticas también les darán más trabajo, porque en lugar 
de hacer las cosas a su aire o “como toda la vida”, tendrán que conformarse a una serie de 
estándares y normas, que a veces resultan incómodos aunque como resultado final a largo 
plazo se obtenga una seguridad global mucho mayor. Por estos motivos, debe buscarse un 
equilibrio entre los requisitos impuestos a los usuarios y administradores, la pérdida de pro- 
ductividad y la ganancia en seguridad. 

Tampoco debe pensarse que las políticas de seguridad atañen en exclusiva a las grandes 
organizaciones, públicas o privadas. La seguridad afecta a todos, grandes y pequeños, por lo 
que la planificación de la seguridad debería ser una asignatura aprobada igualmente por 
todos. Hasta los usuarios particulares definen sus propias políticas, aunque sólo sea verbal- 
mente: “No se puede usar el ordenador para juegos”, “No se instala más software que el que 
yo diga”, “Nada de sitios porno o corto el ADSL”, etc., vienen a ser políticas poco elabora- 
das, en absoluto formalizadas, pero que reflejan cómo cada particular posee también sus 
expectativas y reglas en materia de seguridad. Con independencia de la dimensión de la 
empresa, o incluso si se trata de un particular, nunca está de más dedicar unas horas a poner 
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por escrito estos objetivos y bosquejar unas políticas que deberán ser acatadas por todo el 
personal o miembros de la familia. De forma imprescindible, las políticas deben ser aplica- 
bles y hacerse cumplir, deben ser concisas y fáciles de comprender, deben equilibrar la segu- 
ridad y la productividad. Además, de forma deseable, las políticas deberían establecer las 
razones por las que resultan necesarias, describir los aspectos que cubren, definir funciones 
y responsabilidades y discutir cómo se reaccionará ante sus violaciones. Los beneficios para 
la seguridad, especialmente en el caso de empresas, no tardarán en hacerse sentir. 


Funciones y responsabilidades 


No hay nada más desastroso para el funcionamiento de una empresa que no saber muy bien 
quién se encarga de esto, quién es responsable de aquello o a quién hay que acudir cuando 
ocurra tal cosa. La definición clara de funciones y responsabilidades resulta fundamental 
para imponer orden en este caos. No es admisible que se pierdan los datos tras un fallo del 
disco porque “hacer copias de backup no es cosa mía” o que entre un virus porque “yo no 
tengo por qué encargarme de actualizar el antivirus” o que entre un hacker porque “a mí 
nadie me dijo que cerrase todos los puertos del servidor”. Tristemente, estas situaciones y 
excusas son muy frecuentes en empresas y particulares. El problema subyacente es que no 
existe una separación y asignación de tareas, por lo que muchas de ellas se quedan sin hacer: 
el uno por el otro, la casa sin barrer. Como parte fundamental de toda política: 


Se deben asignar las funciones de seguridad y exigir responsabilidades. 


La función más importante corresponde a la Dirección, encargada de que el resto de 
funciones y responsabilidades se tomen en serio por los administradores y usuarios. Sin el 
apoyo de la Dirección, todos los esfuerzos se quedan en agua de borrajas. Si no se rinden 
cuentas de sus funciones a cada responsable, con el tiempo las conductas se relajan y los 
controles dejan de realizarse o no se realizan con la diligencia debida. La seguridad de la 
información requiere que todas las personas de la organización jueguen su parte, pequeña o 
grande. A menudo se tiende a percibir la seguridad como un problema tecnológico, que se 
resuelve a base de productos, cuando en realidad la tecnología no protege siempre y cuando 
no vaya soportada por personas y procesos. 


Servicios de seguridad gestionados 


Una idea que se recalca en numerosas ocasiones a lo largo del libro es que la seguridad de la 
información no busca suprimir el riesgo por completo, lo cual resultaría imposible, sino 
gestionarlo. Esta gestión del riesgo implica reducirlo, transferirlo o aceptarlo. A la hora de 
transferirlo, la opción más habitual consiste en asegurar con una compañía de seguros los 
activos más críticos. Otra forma de transferir el riesgo consiste en externalizar (outsourcing) 
su gestión a un proveedor de servicios de seguridad gestionados (Managed Security Service 
Provider o MSSP). 

La gestión de la seguridad de la información se está volviendo más compleja día a día: 
las tecnologías de la información (TI) están experimentando un crecimiento espectacular en 
empresas de todos los tamaños, los activos de información a proteger son más numerosos, 
aumentan los requisitos de conectividad, movilidad y acceso remoto a la información, a la 
vez que paralelamente crece el número de amenazas, como consecuencia de una mayor dis- 
ponibilidad de información sobre vulnerabilidades y de herramientas de ataque automatizadas, 
así como una democratización del acceso a Internet. En resumen, tanto las aplicaciones 
como los ataques se encuentran en constante evolución, exponiéndose continuamente nue- 
vas brechas en los sistemas de seguridad. Por todos estos motivos, cada día resulta más 
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difícil para una organización gestionar la seguridad de su información, especialmente para 
las de reducida dimensión, que carecen de departamento de TI o está sobrecargado de traba- 
jo. La mayoría de organizaciones no disponen de los recursos humanos y económicos nece- 
sarios para implantar, mantener y mejorar a lo largo del tiempo un sistema de seguridad de 
la información eficaz, que cumpla las expectativas de la organización. Esta tarea requiere 
personal cualificado, herramientas apropiadas y procesos eficaces, al alcance solamente de 
quienes se dedican en exclusiva a ello. Por consiguiente, muchas organizaciones están dele- 
gando en un MSSP una variedad de servicios de seguridad para reducir costes y maximizar 
las inversiones en tecnologías y recursos internos. Al no dedicar recursos propios a la gestión 
de la seguridad, pueden concentrarse en su línea de negocio principal (core business). En 
realidad, las empresas vienen practicando este tipo de externalización durante años en el 
ámbito de la seguridad física. Por ejemplo, para el control de acceso y vigilancia de edificios 
siempre se ha contratado a empresas de seguridad, las cuales envían sus guardias jurados, 
instalan controles de seguridad físicos, como cámaras de circuito cerrado, alarmas, arcos de 
detección de metales, etc. 
Entre los servicios de seguridad gestionados más frecuentes se pueden citar: 


Protección del perímetro de red, incluyendo servicios gestionados para cortafuegos, 
detección de intrusos (IDS) y redes privadas virtuales (VPN). 

Monitorización de seguridad, que podría ir incluida en el paquete de servicios ante- 
rior. Implica la monitorización 24x7 en tiempo presente de todos los rastros de 
auditoría de sistemas y de redes en busca de comportamientos anómalos. 

Gestión de incidentes, incluyendo respuesta a emergencias y análisis forense, que 
podría prestarse incluido en el paquete anterior. 

Evaluación de vulnerabilidades y pruebas de penetración (pentesting). 

Servicios de antivirus y de filtrado de contenidos. 

Análisis de riesgos. 

Almacenamiento y recuperación de datos. 

Cumplimiento de la política de seguridad. 

Consultoría. 


D> 


D> 


a D D D D> D> 


Contratar todos o parte de estos servicios de seguridad gestionados con un MSSP compe- 
tente de probada solvencia reporta una serie de beneficios que difícilmente alcanzaría por su 
cuenta la propia organización, entre ellos: 


Reducción de costes: Teniendo en cuenta que el MSSP puede distribuir el gasto de 
investigación, formación, adquisición de equipos y licencias de software, locales, 
etcétera. entre varios clientes, los precios que paguen cada uno de ellos serán mucho 
menores que si destinaran idénticos esfuerzos por su cuenta a gestionar la seguridad. 
Reducción de plantilla: Este tipo de servicios de seguridad deben ser realizados por 
personal altamente cualificado. Normalmente, los departamentos de TI de las em- 
presas carecen de especialistas en seguridad o no pueden destinarlos a controlar 
todos los aspectos de seguridad de la empresa. Sin embargo, el MSSP contará con 
personal de estas características, dedicado exclusivamente a la gestión de servicios 
de seguridad. Gracias a la externalización, el personal de TI de la organización pue- 
de dedicarse a otras labores más acuciantes, delegando la gestión de la seguridad en 
el MSSP. 

A Mayor cualificación: La mayor parte de personal interno que saca ratos entre picos 
de trabajo para ocuparse de aspectos de la seguridad carece de la formación y expe- 
riencia técnica del personal especializado de un MSSP. Externalizando la gestión de 
la seguridad, se asegura que el personal encargado de ello está suficientemente cua- 
lificado. 


D> 


D> 
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Rapidez de respuesta: En caso de incidentes de seguridad, el MSSP estará mejor 
preparado que la propia organización para reaccionar con rapidez, realizar un análi- 
sis forense posterior y, en su caso, iniciar acciones legales contra los intrusos. 
Última tecnología: Contratar a un MSSP asegura que se estará usando tecnología 
actualizada y adecuada allí donde hace falta. Muchos MSSP están acreditados por 
vendedores de productos de seguridad con quienes firman alianzas o la seguridad 
gestionada es otro servicio ofertado por los propios fabricantes junto con sus produc- 
tos. Teóricamente al menos, se garantiza así la utilización más eficaz de tecnologías 
de seguridad. 

Integración: En muchas organizaciones se cuenta con medidas de seguridad implan- 
tadas por diferentes departamentos, a veces repetidas, a veces incompletas, a menu- 
do descoordinadas. Si un MSSP se ocupa de la seguridad de la empresa, implantará 
medidas homogéneas en toda la organización. 


Por supuesto, una relación semejante no está exenta de inconvenientes y desventajas. 
Cuando se evalúa la posibilidad de externalizar los servicios de seguridad con un MSSP, 
además de los posibles beneficios discutidos anteriormente, deben considerarse los siguien- 
tes riesgos: 


D> 


D> 


D> 


Generalidad: Dado que el MSSP presta los mismos servicios a una variedad de orga- 
nizaciones, puede que no particularice la gestión para adaptarla a las necesidades y 
contexto de cada cliente. 

Confianza: El MSSP conoce todos los detalles de seguridad, estrategias y vulnerabi- 
lidades de sus clientes. La revelación intencionada o involuntaria de esta informa- 
ción podría acarrear consecuencias desastrosas para el cliente. Este problema se agrava 
cuando el MSSP subcontrata a su vez a otras empresas parte de los servicios, como 
por ejemplo las auditorías periódicas de seguridad. El hecho de que algunos MSSP 
puedan contratar los servicios de crackers y hackers no añade ningún confort a mu- 
chos clientes. Los acuerdos de confidencialidad constituyen un requisito fundamen- 
tal para mitigar este riesgo de divulgación. 

Dependencia: Una organización puede volverse cautiva de un MSSP a quien ha 
externalizado toda la gestión de su seguridad. Si al renovar el contrato el MSSP sube 
sus tarifas o si el MSSP deja de operar por el motivo que sea, sus clientes se enfrentan 
a un serio problema. Los costes de transferencia de los servicios gestionados de un 
MSSP a otro pueden resultar muy elevados. 

Seguridad: Con toda probabilidad, el MSSP comparte muchos de sus recursos entre 
sus clientes, como enlaces de comunicaciones, servidores de proceso de datos, alma- 
cenamiento de datos, etc. Al compartirse estos recursos entre clientes, aumenta la 
probabilidad de que uno tenga acceso a los datos de otro. Por otro lado, si el MSSP no 
cumple sus funciones con la debida diligencia, el cliente puede experimentar una 
falsa sensación de seguridad. Algunas organizaciones contratan los servicios de 
“hackers éticos” para poner a prueba la capacidad de detección y reacción de su 
MSSP, a veces con resultados desastrosos. 

Escalabilidad: Si el MSSP amplía su cartera de clientes, ¿mantendrá los mismos 
niveles de calidad de servicio? Si se produce una oleada de ataques que afectan a 
muchos de sus clientes, ¿qué criterios seguirá a la hora de priorizar las respuestas?, 
¿a qué cliente sirve antes? 


Como se ve, externalizar la seguridad de la organización es una decisión difícil. Algunas 
cuestiones a tener en cuenta al evaluar la oferta de diferentes MSSP son: 
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Acuerdo de nivel de servicio (Service Level Agreement o SLA): Se trata de una de 
las partes más importantes del contrato entre el cliente y el MSSP. Se deben especi- 
ficar compromisos concretos, como tiempo de respuesta a incidentes de seguridad, 
informes regulares al cliente sobre las actuaciones, sistema de seguimiento del cum- 
plimiento del SLA, garantía de funcionamiento de dispositivos como cortafuegos, 
antivirus, IDS, etc., penalizaciones por actuación deficiente, centro de operaciones 
de red flexible, etc. 

Experiencia: Poner la seguridad de la propia organización en manos de terceros no 

deja de ser un paso arriesgado. Para poder darlo con las máximas garantías, debe 

asegurarse que el MSSP posee experiencia en la prestación de servicios gestionados, 
para lo cual conviene indagar en el número y tipo de clientes, los años en operación 
prestando estos servicios, el tipo de subcontratas que puedan utilizar, etc. 

8 Acreditación de la plantilla: Uno de los mayores beneficios de la externalización 
estriba en la posibilidad de disfrutar de los conocimientos de auténticos expertos en 
seguridad. Debe comprobarse que la plantilla del MSSP y no solamente el director o 
alguna cabeza visible están cualificados y acreditados en relación con las tecnologías 
que van a usar. 


D> 


Los servicios de seguridad que más frecuentemente se externalizan son la protección del 
perímetro y la evaluación de vulnerabilidades. 

Otro enfoque similar para la seguridad gestionada que pueden asumir las organizaciones 
de gran dimensión que cuentan con sus propios departamentos de seguridad consiste en 
disponer de un centro de operaciones de seguridad propio (Security Operation Center o 
SOC). En este caso, la seguridad de la organización es gestionada por este SOC. Esta solu- 
ción presenta básicamente las mismas ventajas e inconvenientes que la seguridad gestionada 
con una empresa externa. 


Historia de la seguridad informática 


Comparada con otras disciplinas, la informática posee una historia muy reciente. Si bien la 
seguridad informática comenzó a fraguarse tal y como la conocemos hoy en día principal- 
mente en la última década, desde principios del siglo XX ya los primeros piratas del mundo 
electrónico/eléctrico empezaron a realizar sus andanzas tras la aparición de las líneas de 
comunicaciones telegráficas (véase Figura 1.8). 

En su estudio más reciente sobre seguridad informática, el CERT informa que en el año 
2003 se han producido más de 100.000 incidentes de seguridad y que se ha informado de 
más de 3.000 vulnerabilidades. Si se comparan estos datos con los primeros publicados en 
1988, que recogían 6 incidentes y 171 vulnerabilidades, uno se puede dar cuenta de lo mucho 
que ha evolucionado la seguridad informática, o inseguridad, según se mire, en los últimos 
15 años (véase Tabla 1.2 y Tabla 1.3). 

Por su parte, el estudio sobre seguridad y crimen informático del Computer Security 
Institute, en adelante CSI, arroja datos en los que se estiman las pérdidas de los sistemas 
analizados en más de 141 millones de dólares por problemas de seguridad. Esta cantidad 
nada despreciable impulsa la teoría de que en seguridad informática el dinero siempre se 
gasta: o bien antes, en proteger, o bien posteriormente, en recuperar. El CSI y el FBI realizan 
este estudio anualmente en base a encuestas a empresas para obtener datos reales del año en 
curso sobre seguridad informática. Este estudio puede obtenerse gratuitamente en 
WWW.gOCS1.com. 

En el año 2003, mientras que tecnologías como cortafuegos y antivirus tienen un desplie- 
gue cercano al 100%, la biometría, los sistemas de prevención de intrusiones (IPS) y las 
infraestructuras de clave pública (PKI) están todavía por debajo del 50%. Los sistemas para 
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Figura 1.8. Evolución del número de incidentes de seguridad comunicados al CERT 
durante los últimos años (Fuente: http://www.cert. org/stats/cert_stats.html). 


Tabla 1.2. Incidentes comunicados al CERT. 


1998 1999 2000 2001 2002 2003 


3.734 9.859 21.756 52.658 82.094 137.529 


Tabla 1.3. Vulnerabilidades comunicadas al CERT. 


1998 1999 2000 2001 2002 2003 


262 417 1.090 2.437 4.129 3.784 


el cifrado de datos en tránsito, los sistemas de detección de intrusiones (IDS) y las listas 
ACL para control de accesos al sistema de archivos están rondando un despliegue en torno 
al 75%. Estos datos facilitados por el CSI vislumbran un futuro prometedor para la seguri- 
dad informática y un largo camino por recorrer. 

Es difícil extraer un perfil de los atacantes actuales y evaluar cuáles son sus motivos: 
fama, dinero, espionaje, gamberrismo, etc. Lo que está claro es que tan sólo un porcentaje 
que ronda el 25% de ataques se dirige contra blancos escogidos deliberadamente. Existe 
gran cantidad de intentos de intrusión en los que se prueban ataques contra blancos escogl- 
dos de manera aleatoria. Si a este dato se añade que más del 80% de los ataques son origina- 
dos en plataformas Windows por aficionados, se llega a la conclusión de que la mayoría de 
los intentos de intrusión de la actualidad son generados por personas no expertas ejecutando 
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una herramienta automática (script kiddies) o se deben a ataques de gusanos, que a su vez 
eligen también sus objetivos aleatoriamente. 


Comienzo de los ordenadores: años cincuenta 


Las líneas de teléfono empezaron a extenderse a principios del siglo XX. Estos sistemas 
albergaban fallos que eran explotados por los intrusos que accedían a los sistemas pudiendo 
desviar llamadas a su antojo, escuchar conversaciones, etc. En esta época la ingeniería social 
(véase el Capítulo 5), resultaba de gran utilidad para el atacante, ya que el personal de las 
compañías telefónicas no estaba concienciado y existían numerosos procedimientos realiza- 
dos manualmente. Los primeros denominados hackers reconocidos datan de los años sesen- 
ta: un grupo de jóvenes estudiantes del MIT expertos en manejar los sistemas mainframe de 
la época. El término hacker era utilizado en estos años para describir a personas obsesiona- 
das por aprender todo lo posible sobre los sistemas electrónicos. 


Inicio de la seguridad informática: años setenta 


En los años setenta surge la subcultura hacker y se extiende el uso del término phreaker, 
persona que vulnera la seguridad de los elementos de comunicaciones. Llamadas gratuitas, 
escuchas ilegales, etc. están al alcance de los intrusos. Los sistemas manuales para encaminar 
llamadas telefónicas operados por personas han sido sustituidos a estas alturas por sistemas 
automáticos operados por ordenadores. Dichos sistemas, basados en su mayoría en tonos 
multifrecuencia, permiten nuevos ataques: el canal utilizado para comunicarse es el mismo 
que se utiliza para señalizar, por lo que los intrusos una vez conocidas las frecuencias de 
señalización emiten tonos especiales para evitar tarificar las llamadas, realizar desvíos, etc. 

John Draper, también conocido como el Capitán Crunch, se hizo famoso en esta época y 
es considerado el gurú de los phreakers. Su sobrenombre se debe a que generó una señal de 
2600 Hz, para evitar tarificar utilizando una caja de cereales del Capitán Crunch. John 
Draper no sólo se dedicó a cursar llamadas gratuitas, sino que llegó a manipular también los 
ordenadores que controlaban todo el sistema. 

Desde el punto de vista de protección, en los años setenta comienzan a realizarse estudios 
dentro del ambiente universitario y militar sobre la necesidad de seguridad informática como 
tal, dado que con anterioridad la seguridad única de la que se hablaba era la física, amplian- 
do la misma para proteger los ordenadores como un activo más. 

En 1975 aparece el primer ordenador personal, Altair 8800, con lo que empieza a exten- 
derse el concepto de hacker entre los usuarios. La aparición de los ordenadores personales 
junto con la proliferación de las redes de comunicaciones cambiaría para siempre el modelo 
de seguridad. Ya no bastaba con una protección del ordenador central y terminales asociados, 
dado que desde los pequeños ordenadores situados a miles de kilómetros se podía acceder al 
servidor central como si se estuviese en la misma habitación. Hasta la fecha, prácticamente 
todos los controles de seguridad se limitan a controles físicos: seguridad de acceso a la sala, 
edificio y protección ante catástrofes como fuego, inundación o falta de fluido eléctrico. 


Los años dorados y posterior persecución: años ochenta 


La extensión de los ordenadores personales por todos los hogares hace crecer el grupo de 
intrusos potenciales. El gran auge de los sistemas personales, unido al éxito arrasador en 
1984 de la película de culto “Juegos de guerra”, de John Badham, catapultan en masa a 
grupos de jóvenes hacia la subcultura hacker. Esta subcultura va cobrando fuerza y se va 
extendiendo rápidamente, gracias a la interconexión de redes facilitada primero por las BBS 
(Bulletin Board Systems), y posteriormente por Internet. 
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WoA Los BBS (Bulletin Board Systems) eran sistemas accesibles mediante llamada telefónica en los cuales 
las personas intercambiaban ficheros y correos principalmente. Con la aparición de Internet fueron 
perdiendo fuerza hasta su práctica desaparición en la actualidad. 


En 1984 aparecen los primeros grupos de hackers dedicados a la seguridad. El grupo 414 
y Legion of Doom datan de esta época. Dichos grupos accedían a múltiples sistemas provo- 
cando la ira y desconcierto de los administradores de los mismos. De seguridad se seguía 
hablando principalmente dentro de los departamentos militares, universidades y grandes 
empresas, apareciendo los primeros programas para detectar intrusos y proteger sistemas. 
La mayoría de empresas no eran realmente conscientes de hasta qué punto podían llegar a 
ser vulnerables y se limitaban a utilizar la informática como una herramienta, obviando los 
eventuales problemas de seguridad que pudieran tener. 

A partir del año 1985 las autoridades se plantean finalizar con los intrusos que campan a 
sus anchas por el mundo digital y comienzan a publicar leyes para impedir que los hackers 
salgan impunes de sus fechorías. Criminal Code of Canada y Computer Fraud and Abuse Act 
en EE.UU. son publicados en esta época. 

En la década de los ochenta aparecen también los primeros virus: en 1987, en la univer- 
sidad de Delaware, se produce el primer incidente conocido, si bien al año siguiente se 
extiende por ARPANET, red precursora de Internet, un gusano creado por Robert Morris, 
que colapsó multitud de sistemas y está considerado como el primer incidente serio de segu- 
ridad de la red Internet. 

A comienzos de los años noventa comienza la persecución de los hackers. La palabra 
pierde su sentido original de joven experto con inquietudes y se asocia a delincuente. En 
enero de 1990 la red de AT&T, la mayor red en EE.UU., cae durante más de 10 horas. Los 
rumores de haber sufrido un ataque informático se extienden y finalizan con la detención de 
numerosos expertos de seguridad ligados al mundo underground. 

El primer hacker en aparecer en la lista del FBI como criminal más buscado fue Kevin 
Mitnick, también conocido como El Cóndor. El departamento de Justicia de Estados Unidos 
lo consideró como un terrorista electrónico por cometer delitos tales como: 


Creación de números telefónicos no tarificables. 

Robo de más de 20.000 números de tarjetas de crédito. 

Precursor de la falsificación de dirección IP conocida como ZP spoofing. 
Burla al FBI durante más de 2 años. 

Robo de software de terminales telefónicos. 

Control de varios centros de conmutación en USA. 

Acceso ilegal a múltiples sistemas del gobierno. 

Acceso a los sistemas de Digital Equipment Corporation. 
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Finalmente fue detenido en 1995 tras atacar los sistemas del centro de supercomputación 
de San Diego. El administrador de seguridad del centro, Tsutomu Shimomura, al darse cuenta 
de la intrusión se tomó como un reto personal el dar caza a Mitnick. Después de múltiples 
rastreos fue localizado y dio parte al FBI, el cual rastreando la señal del teléfono móvil de 
Mitnick le dio caza en una detención digna de película. Justo cuando iba a ser detenido, 
generó una nueva señal idéntica en otra zona próxima y ocho horas con posterioridad a su 
detención grabó mensajes en el contestador de Tsutomu. 


La seguridad cobra fuerza 


Después de las detenciones de mediados de los noventa, comienzan los primeros análisis de 
seguridad. En 1997, Dan Farmer, experto de seguridad, realiza ataques sobre múltiples sis- 
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temas informáticos y descubre que no es detectado. Teniendo en cuenta que tuvo éxito en el 
ataque en la mayoría de sus intentos, llega a la conclusión de que la seguridad informática 
todavía se encuentra en mantillas. Las grandes empresas comienzan a crear sus departamen- 
tos de seguridad informática y ante su demanda se crean múltiples empresas dedicadas a 
desarrollar software destinado a la seguridad. Aparecen los primeros cortafuegos: Altavista, 
Checkpoint, etc., y las primeras versiones de sistemas de detección de intrusos (IDS) tal 
como los conocemos hoy en día: Realsecure o Netranger. 

Como dato curioso, el 9 de diciembre de 1997, unos intrusos sustituyeron la página 
principal de Yahoo! por otra que decía que todos los visitantes habían sido infectados con un 
peligroso virus. El objetivo era pedir la liberación de Kevin Mitnick, quien permanecía toda- 
vía en la cárcel. En esta época se suceden ataques de este tipo, los cuales empiezan a ser 
publicitados de manera esporádica. 

A finales de la década de los noventa surgen con fuerza los troyanos de distribución 
masiva como BackOrifice o NetBus, ampliamente utilizados para atacar sistemas. Dichos 
programas, tanto en su modalidad de puerta trasera como en su configuración tipo troyano, 
encapsulados dentro de un ejecutable con una función aparentemente benigna, obligaron a la 
industria de protección a reaccionar creando en los años sucesivos todo un abanico de pro- 
gramas y técnicas anti-troyanos. 


El boom de la seguridad 


El final del siglo XX se caracterizó por una explosión cámbrica de nuevas empresas, nuevos 
modelos de negocio, nuevos productos y nuevas técnicas de seguridad. El boom de Internet 
hace que numerosas empresas de nueva creación concentren su ámbito de actuación en la 
seguridad. Los departamentos de seguridad se extienden por todas las empresas y se comien- 
za a concienciar a los usuarios. 

La popularidad de Internet se extiende por todo el mundo: toda persona, desde los niños 
a los mayores, que se convierte en usuario de Internet es a su vez víctima. Desde otra pers- 
pectiva, los intrusos disfrutan de la facilidad que les confiere Internet para acceder a múlti- 
ples sistemas con unos conocimientos mínimos, lo que provoca que el número de intrusos 
potenciales crezca exponencialmente y los administradores se vean a menudo desbordados. 
Dado que la seguridad informática está de moda, los ataques son ampliamente publicitados 
en los medios. No es que antes no existieran, sino que simplemente no ocupaban titulares 
debido al escaso interés del público. 

El año 2000 se convierte en un año fatídico: junto a la caída por ataques de denegación de 
servicio sobre sitios emblemáticos de Internet como CNN, Yahoo, etc., el virus I Love You 
causa estragos en grandes compañías. Tiempo de indisponibilidad, información perdida, etc. 
hacen que la seguridad informática cobre mucha fuerza y las empresas tomen conciencia de 
su necesidad. Posteriormente gusanos y virus han causado los principales daños en las com- 
pañías: Nimda, Klez, Sasser, Slammer, Netsky, Mydoom, Sobig o Bagle son sólo algunos de 
los ejemplos de malware que han provocado con sus ataques millones de pérdidas a las 
compañías en la reciente actualidad. 


Casos famosos 


Dado que el término hacker se presta a múltiples acepciones, son considerados como tales 
gente muy diversa. Basándose en la acepción de gurús de los sistemas informáticos, puede 
considerarse hackers a personas como: 


Linus Torvalds: Desarrollador del kernel de Linux. 
A Richard Stallman: Fundador del movimiento del software libre y del proyecto GNU. 
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Steve Wozniak: Co-fundador de Apple. 

Bill Joy: Co-fundador de Sun. 

Larry Wall: Creador del lenguaje perl. 

Ken Thompson y Dennis Ritchie: Creadores de Unix. 
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Y como expertos de seguridad, entre los cuales algunos en numerosas ocasiones han 
rozado, si no cruzado, la frontera del delito: 


Kevin Mitnick: El hacker más buscado de todos los tiempos, el cual recientemente 
ha salido de prisión. Su foto estuvo durante mucho tiempo en los carteles de los más 
buscados por el FBI. 

Fyodor: Autor de la herramienta nmap. 

Solar Designer: Fundador del proyecto openwall. 

John Draper: Phreaker (Captain Crunch): famoso por generar mediante una caja de 
cereales una señal de 2600 Hz. 

Eric Corley (Emmanuel Goldstein): Editor del famoso fanzine 2600. 

Dark Avenger: Escritor de virus e inventor en 1992 del código polimórfico. 

Mark Abene (Phiber Optik): Uno de los fundadores del grupo Master of deception. 
Kevin Poulsen: Se hizo famoso por ganar en un concurso de radio en el que ganaba 
una llamada determinada. Él forzó el sistema para garantizar su éxito. 

Vladimir Levin: Estafó más de 10 millones de dólares a la compañía Citibank me- 
diante robos informáticos. 

Robert Morris: Famoso por crear el gusano que lleva su nombre, el cual causó estra- 
gos en Internet durante 1988. 

Xail: Intruso de los sistemas de nasa.gov, por lo que fue procesado. 

8 Adrian Lamo: Intruso de los sistemas de New York Times, por lo que fue procesado. 
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La seguridad en la empresa 


Según todos los estudios, las grandes empresas son las más atacadas dentro del campo de 
batalla del mundo digital, si bien en menor medida las pequeñas y medianas son también 
objetivo de los intrusos. El hecho de que más del 80% de los ataques a los sistemas se realice 
en remoto facilita su existencia. Las dos mayores amenazas externas a las que se encuentran 
expuestos los equipos de una organización, tanto servidores como puestos de trabajo, e, 
implícitamente, sus datos, son los hackers y el malware. Por otro lado, tampoco hay que 
perder de vista las amenazas internas procedentes de empleados y personal interno, que 
pueden causar daños mucho más severos en los sistemas informáticos, ya sea de forma deli- 
berada o sin intención. 


Defensa en profundidad 


Hackers, virus, empleados, ¿cómo protegerse frente a todos ellos de manera eficiente? 
La respuesta se encuentra en adoptar un enfoque de defensa en profundidad (defense-in- 
depth): se aplican contramedidas diferentes en cada capa de la infraestructura de informa- 
ción de la organización, desde los routers y cortafuegos perimetrales hasta los puestos de 
trabajo del personal. El objetivo perseguido consiste en asegurarse de que si el mecanismo de 
salvaguarda implantado en una capa falla, el de la siguiente capa funcionará. Es evidente 
que cuantas más barreras sucesivas se superpongan, el riesgo de intrusión irá disminuyendo 
a la par que aumenta la posibilidad de detección y reacción. El ataque puede proceder de 
tantos frentes diferentes que implantar un único mecanismo de protección se traduce en un 
suicidio. 
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Este modelo conceptual se ilustra en la Figura 1.10, donde se representa la infraestructu- 
ra de tecnologías de la información (TI) de la organización como un conjunto superpuesto 
de capas. Cada capa involucra personas, tecnologías y operaciones. Su objetivo final reside 
en minimizar el riesgo de manera que se garantice un nivel aceptable de CID, esto es, la 
confidencialidad, integridad y disponibilidad de los activos de información, tal y como se 
explicará en el Capítulo 3. La defensa en profundidad debe encontrar un equilibrio entre sus 
tres elementos constituyentes, representados en la Figura 1.9: 


Personas: Para garantizar la seguridad de la información debe implicarse al perso- 
nal. Evidentemente, quien primero debe concienciarse de la necesidad de gestionar 
la seguridad de la información es la propia Dirección de la empresa. Este compromi- 
so de la Dirección con la seguridad se traducirá posteriormente en la adopción de 
políticas y procedimientos de seguridad, la asignación de funciones y responsabili- 
dades de seguridad, la formación y concienciación del personal, tanto administrado- 
res como usuarios, y la auditoría de las acciones realizadas por el personal. Es 
necesario también implantar mecanismos de seguridad física, que exigen la colabo- 
ración de todo el personal. 

A Tecnología: En general, la gran cantidad de soluciones técnicas de seguridad dispo- 
nibles en el mercado recibe la mayor atención y presupuesto cuando se implantan 
mecanismos de salvaguarda del CID de la información. Sin embargo, sin unas polí- 
ticas y procedimientos de seguridad adecuados, las medidas técnicas se implantarán 
mal o donde no hacen falta, sin objetivos claros y a menudo de forma inconsistente o 
incompleta. La tecnología, sin un sistema global de gestión de la seguridad, resulta 
ineficaz y produce una falsa sensación de seguridad, defraudando las expectativas 
generadas. 

§ Operaciones: Sostener la seguridad de la organización requiere una serie de acciones 
diarias: mantener actualizada y comunicada la política de seguridad; gestionar la 
seguridad de la tecnología, por ejemplo, con una política adecuada de actualización 
de parches; gestionar las contraseñas de usuarios y servidores; evaluar la seguridad 
de las medidas implantadas mediante auditorías y pruebas periódicas; mantener al 
día el plan de continuidad del negocio y el plan de recuperación ante desastres; etc. 


Las capas en las que habitualmente se subdivide la infraestructura de TI son siete. En 
cada una de ellas se implantan una serie de mecanismos de protección, que implicarán per- 
sonal, tecnología y procesos, con el fin de mitigar los riesgos. 


À 
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Figura 1.9. La seguridad de la organización es el resultado de operaciones realizadas 
por personas y soportadas por tecnología. 
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Políticas y procedimientos de seguridad: Esta capa posiblemente sea la más descu1- 
dada y desatendida de todas, siendo precisamente la más importante, ya que consti- 
tuye la piedra angular, el basamento de todas las demás. Citando a la norma española 
UNE-ISO/IEC 17799, sección 3.1.1, “La Dirección debería aprobar, publicar y co- 
municar a todos los empleados un documento de política de seguridad de la informa- 
ción. Debería establecer el compromiso de la Dirección y el enfoque de la 
Organización para gestionar la seguridad de la información. El documento debería 
contener como mínimo la siguiente información: a) una definición de la seguridad 
de la información y sus objetivos globales, el alcance de la seguridad y su importan- 
cia como mecanismo que permite compartir la información; b) el establecimiento 
del objetivo de la Dirección como soporte de los objetivos y principios de la seguri- 
dad de la información; c) una breve explicación de las políticas, principios, normas 
y requisitos de conformidad más importantes para la Organización, por ejemplo: 1) 
conformidad con los requisitos legislativos y contractuales; 2) requisitos de forma- 
ción en seguridad; 3) prevención y detección de virus y otro software malicioso; 4) 
gestión de la continuidad del negocio; 5) consecuencias de las violaciones de la 
política de seguridad; d) una definición de las responsabilidades generales y especí- 
ficas en materia de gestión de la seguridad de la información, incluida la comunica- 
ción de las incidencias de seguridad; e) las referencias a documentación que pueda 
sustentar la política; por ejemplo, políticas y procedimientos mucho más detallados 
para sistemas de información específicos o las reglas de seguridad que los usuarios 
deberían cumplir. Esta política debería distribuirse por toda la Organización, llegan- 
do hasta los destinatarios, en una forma que sea apropiada, entendible y accesible.” 
Otro error común consiste en creer que las políticas de seguridad son cosa de gran- 
des corporaciones, cuando en realidad toda empresa, por pequeña que sea, e incluso 
los particulares, deberían contar con una. Esta política, como mínimo, servirá de 
guía a la hora de implantar el resto de defensas. 

Seguridad física y del entorno: El atacante goza de acceso físico a los equipos e 
infraestructuras de red (al hardware), por lo que el mayor riesgo planteado es que 
podría dañar o robar los dispositivos junto con la información que contienen. Aun- 
que este libro no trata el tema de la seguridad física, sí que se proporcionan algunas 
pinceladas a lo largo de sus páginas. Las medidas más urgentes que deben adoptarse 
son: control del personal que accede a los distintos recursos y dependencias; puesto 
de trabajo despejado, es decir, no deben quedar papeles ni disquetes ni CD ni ningún 
otro soporte de información sensible al alcance de un intruso físico y siempre debe 
activarse el bloqueo de terminal cuando éste quede desatendido mediante salva- 
pantallas protegido por contraseña; utilización de cajas fuertes, armarios y cajoneras 
con llaves; rejas en las ventanas, puertas blindadas y sistemas de alarma conectados 
a una central para guardar los accesos exteriores; etc. 

Defensa perimetral: El perímetro es el punto o conjunto de puntos de la red interna 
de confianza gestionada por la propia organización en contacto con otras redes exter- 
nas no fiables, no sólo Internet. El atacante posee acceso a los servicios ofrecidos o 
accesibles desde el exterior. El perímetro se protege instalando cortafuegos, redes 
privadas virtuales, routers bien configurados, redes inalámbricas debidamente prote- 
gidas y módems telefónicos controlados (véase el Capítulo 4), así como filtros antivirus 
(véase el Capítulo 5). Sin embargo, no hay que confiarse creyendo que un perímetro 
seguro se traduce en una red segura. Los ataques vía Web, vía correo electrónico, vía 
disquete, de ingeniería social, a través de redes inalámbricas desprotegidas o perpe- 
trados por personal interno, por citar algunos, a menudo traspasan tan campantes la 
defensa perimetral. Por este motivo, también es necesario proteger las siguientes 
capas. En la actualidad, en la mayoría de organizaciones, la gran interconexión de 
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redes internas y externas hace muy difícil la percepción clara del perímetro. En 
palabras del gurú de la seguridad Gene Spafford: “Muchos entornos carecen de un 
perímetro bien definido. Son como botellas de Klein: todo está dentro y fuera a la 
vez”. En la Figura 6.2 se representan los vectores de ataque utilizados por los hackers, 
donde se aprecia cómo el perímetro tradicional no supone sino una de las muchas 
vías de entrada en la red interna. 

Defensa de red: El atacante posee acceso a la red interna de la organización, por lo 
que potencialmente puede acceder a cualquier puerto de cualquier equipo o monitorizar 
el tráfico que circula por la red, de forma pasiva (sólo lectura) o activa (modificación 
posible). Para proteger la red de estas amenazas suelen utilizarse sistemas de detec- 
ción de intrusiones y sistemas de prevención de intrusiones (véase el Capítulo 6), 
segmentación de redes mediante routers y switches (véase el Capítulo 4), utilización 
de IPSec y/o SSL para cifrado durante el transporte de datos (véase el Capítulo 3), 
protección de redes inalámbricas (véase el Capítulo 4), etc. 

Defensa de equipos: La seguridad de equipos, tanto servidores como clientes, impli- 
ca como mínimo tres tareas fundamentales: mantenerse al día con los parches de 
seguridad, desactivar todos los servicios innecesarios y mantener el antivirus activo 
y constantemente actualizado (véase el Capítulo 5 para información sobre todas ellas). 
El mayor riesgo se presenta cuando el atacante puede acceder al equipo a través de 
vulnerabilidades en servicios del sistema operativo a la escucha. El bastionado y la 
aplicación de plantillas de seguridad constituyen las dos herramientas básicas para 
proteger esta capa, explicadas en el Capítulo $. 

Defensa de aplicaciones: Las aplicaciones se protegen realizando un control de acce- 
so mediante la sólida implantación de mecanismos de autenticación y autorización. 
Una medida de seguridad adicional consiste en la instalación de cortafuegos de apli- 
cación, dedicados a filtrar el tráfico específico de distintas aplicaciones: correo (SMTP), 
Web (HTTP), bases de datos, etc. En la sección “Fortalecimiento de aplicaciones” 
del Capítulo 5 se ofrecen consejos y herramientas para proteger aplicaciones, tanto 
de servidor como de cliente. 

Defensa de datos: Si un atacante ha traspasado todas las barreras anteriores y posee 
acceso a la aplicación, la autenticación y autorización, así como el cifrado, constitu- 
yen las tecnologías más empleadas para proteger los datos. El cifrado y la integridad 
se tratan en el Capítulo 3. (Véase Figura 1.10.) 


Internet no es más que un nuevo campo de batalla donde se puede incurrir en una serie de 
“delitos” con las particularidades del mundo virtual que representa, pero cuya seguridad se 
complica por una serie de agravantes: 


D> 


D> 


Automatización: Resulta extraordinaria la facilidad con la que se pueden mecanizar 
posibles ataques, lo cual hace que pequeñas ofensivas se conviertan en grandes de- 
sastres. Por ejemplo, el llamado salami attack, por el cual se pretende extraer de un 
gran volumen de transacciones pequeñas fracciones de moneda: cuando la operación 
se repita millones de veces, ese céntimo que se arañaba en cada transacción se con- 
vierte en mucho dinero. Rodaja a rodaja, se acaba comiendo el salchichón. 

Acción a distancia: El problema de la detección y consecuente actuación contra el 
posible vándalo es considerablemente difícil debido a la interconexión de redes. La 
intrusión puede perpetrarse a miles de kilómetros de distancia. A modo de agravante, 
se complica la detención de los criminales potenciales por la inexistencia de fronte- 
ras en Internet, debido a la disparidad entre las leyes en los distintos países. 
Propagación: Otro de los grandes problemas característicos e inherentes a los ata- 
ques informáticos reside en su facilidad de propagación debido a la total interco- 
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Defensas de aplicación 


Defensas de host 


Defensas de red 


Defensas perimetrales 





Seguridad fisica 


Políticas y procedimientos 
Figura 1.10. Modelo de seguridad de la defensa en profundidad. 


nexión de redes. Así se facilita la extensión de virus, troyanos y en definitiva de todo 
el código malicioso que pueda crearse. Paralelamente, las redes posibilitan que los 
programas y documentos sobre actividades ilícitas viajen más rápido y estén al al- 
cance de cualquiera. 

8  Reactuación: La simplicidad para repetir un ataque después de que se ha llevado a 
cabo una primera vez es sorprendente. Puede que para perpetrar un ataque complica- 
do se necesiten varias personas inicialmente, pero la mayoría de ataques, una vez 
realizados y probados, son fácilmente repetibles mediante scripts, programas, etc., lo 
que los vuelve triviales, con lo que el número de intrusos potenciales aumenta des- 
mesuradamente. 


Análisis de riesgos 


La planificación para la seguridad de la información incluye entre sus primeras fases la 
realización de un análisis de riesgos sobre los activos a proteger. Este análisis tiene como 
objetivo identificar los riesgos, cuantificar su impacto y evaluar el coste para mitigarlos. 
Como ya se mencionó en la sección “Gestión de seguridad de la información” al principio 
del capítulo, el objetivo de la gestión de riesgos no es conseguir un sistema seguro al 100%, 
sino reducir el riesgo a niveles aceptables. Tras la finalización del análisis de riesgos, se 
puede realizar un análisis coste-beneficio (cost-benefit analysis o CBA) que compara el 
coste de implantar las contramedidas con el coste de no utilizar contramedidas. 

Existen muchas categorías de riesgos, como por ejemplo, daño a la información, lo que 
representa una pérdida de integridad; revelación de información, lo que supone una pérdida 
de confidencialidad; o pérdida de información, que es una pérdida de disponibilidad. Por 
otro lado, existen numerosos factores de riesgo, como por ejemplo daño físico, fallos técnicos 
en el funcionamiento, ataques internos o externos, errores humanos o errores de las aplica- 
ciones. Cada activo de información analizado posee como mínimo una categoría de riesgo 
asociada a uno o más factores de riesgo, siendo la exposición la posibilidad de que la amena- 
za se materialice. Para reducir esta exposición o mitigar el riesgo se aplican contramedidas. 
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Un riesgo para un sistema informático está compuesto por la terna de activo, amenaza y 
vulnerabilidad, relacionados según la fórmula riesgo = amenaza + vulnerabilidad. Estos 
conceptos se definen como: 


D> 


Activo: Sistema o conjunto de sistemas sobre los que se desea calcular el riesgo 
asociado. El activo tendrá un valor que consistirá en la suma de todos los costes 
necesarios para volver a la normalidad ante un ataque a su seguridad. Contarán por 
tanto los costes de adquisición, costes de puesta en marcha, costes de daño de imagen 
ante pérdida o difusión de información confidencial, pago de multas, etc. Para reali- 
zar un análisis de riesgos exhaustivo se deberán valorar primero los activos adecua- 
damente para poder conocer el valor de su pérdida y así priorizar los más importantes 
en caso de necesidad. Los activos pueden dividirse en tangibles o intangibles: en el 
primer grupo se incluyen los ordenadores, los archivos, el software, etc., y en el 
segundo grupo, la seguridad del personal, la imagen pública, la cartera de clientes, la 
información de configuración, etc. 

Amenaza: Las amenazas comprenden todos los agentes que pueden atacar a un siste- 
ma. Son amenazas por ejemplo las catástrofes naturales, cortes de tensión, virus o los 
hackers. En definitiva, existen múltiples amenazas de las cuales un sistema no se 
puede librar. Cuanto mayor sea su grado de exposición, probablemente poseerá más 
amenazas. 

Vulnerabilidad: Una vulnerabilidad es un punto en el que un recurso es susceptible 
de ataque. Los sistemas poseen un grado de facilidad para ser atacados. Cuantas más 
vulnerabilidades poseen tanto mayor será la probabilidad de que sean atacados con 
éxito. Las vulnerabilidades son paliadas mediante contramedidas. Estos controles 
pueden ser de cinco tipos, según se mostró en la Tabla 1.1. Se pueden implantar a 
tres niveles diferentes: físico, técnico y administrativo. 


A la vista de estos conceptos, un ataque se definiría como la explotación deliberada de 
una vulnerabilidad por un agente amenazador para causar pérdida, daño o revelación de 
activos. (Véase Figura 1.11.) 


explotan 
amenazas +5. vulnerabilidades 
en peligro 4 resultando 
por / en 
Los elementos 
activos del riesgo exposición 
protegen N / representando 
contramedidas ~ riesgo 
mitigado 
por 


Figura 1.11. Los elementos del riesgo. 
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En definitiva, activo, amenaza y vulnerabilidad componen la respuesta a las tres pregun- 
tas clave: ¿qué se quiere proteger?, ¿frente a qué se quiere proteger? y ¿cuáles son los 
problemas y qué contramedidas se pueden tomar? 

Cuando se está expuesto a un riesgo, se debe decidir qué hacer con él: reducirlo, transfe- 
rirlo o simplemente asumirlo. La primera opción consiste en mitigarlo, para ello se deberán 
tomar medidas para minimizar riesgos: teniendo un activo de menor valor o disminuyendo 
las amenazas, cosa difícil, o como normalmente se actúa, disminuyendo las vulnerabilidades 
del sistema mediante contramedidas. La segunda opción pasa por transferir el riesgo: una 
empresa de seguros, por ejemplo, puede asumir el coste en caso de incidente por una canti- 
dad menor que el valor de los activos. El tercer caso es el más sencillo: la Dirección asume 
que posee un riesgo y es consciente de ello, pero ni desea reducirlo ni transferirlo dado que se 
entiende que la situación de aceptación es lo mejor para el negocio. 

Un caso especial de reducción sería la eliminación del riesgo. Para hacer desaparecer un 
riesgo (riesgo cero) se debe eliminar por completo alguno de sus miembros: activo, amenaza 
o vulnerabilidad. Un sistema expuesto tendrá siempre amenazas y vulnerabilidades, por lo 
que si se quiere eliminar el riesgo por completo, la única opción pasa por eliminar el activo, 
alternativa inviable en la mayoría de los casos. 

Los atacantes pueden ser aficionados, profesionales o cibercriminales. Los primeros, de- 
bido a la facilidad de acceso a redes públicas de comunicaciones y a la información de 
seguridad existente al alcance de todos, se convierten en potenciales intrusos que ejecutan 
los ataques que ven y repiten fácilmente. Como administrador de sistemas, se puede proteger 
con relativa sencillez frente a este primer grupo actualizando los sistemas y manteniendo 
una mínima arquitectura de seguridad. Los siguientes grupos, los profesionales y los 
cibercriminales, son expertos y obligarán a poseer una arquitectura de seguridad reforzada y 
una actualización constante y rápida. 

En seguridad siempre se asume que nunca se está 100% seguro, y realmente es cierto. La 
compleja interdependencia entre tantos módulos, como red, hardware, sistema operativo, 
aplicaciones y programas, implica la existencia de fallos, ya que todos ellos están desarrolla- 
dos por programadores y, como seres humanos que son, cometen errores. Incluso más aún 
cuando los sistemas tienden a ser cada vez más complejos, pues implican más líneas de 
código y, por consiguiente, un número de errores potencialmente mayor. Por si esto fuera 
poco, los administradores tampoco son perfectos y también cometen errores, a veces les toca 
configurar sistemas en los que no son expertos y obvian detalles importantes para la seguri- 
dad. 

Por tanto, se debe asumir que se dispone de un activo que potencialmente posee vulnera- 
bilidades y que está expuesto a amenazas. Tales son los tres factores de los que se compone la 
tripleta “riesgo”. 

Los análisis de riesgos pueden realizarse de dos modos: 


Cuantitativos: En este tipo de análisis se toman en consideración dos factores: la 
probabilidad de que un evento ocurra, así como la cantidad económica perdida en 
caso de ocurrencia. En el presente análisis se calcula la pérdida anual estimada (Annual 
Loss Expectancy o ALE), o los costes estimados anuales (Estimated Annual Cost o 
EAC). Para realizar los cálculos basta con multiplicar la pérdida potencial por su 
probabilidad. Con estos cálculos se puede medir de manera teórica las pérdidas y 
tomar así decisiones en consecuencia. El problema de este tipo de análisis se presen- 
ta con la imprecisión en la calidad de los datos, tanto por su propia naturaleza como 
por obviar multitud de eventos potenciales que pueden ocurrir y son pasados por alto. 
§ Caualitativos: En este tipo de análisis se calculan de forma cualitativa las potenciales 
pérdidas ante el ataque a un sistema, mediante el estudio de activos, vulnerabilida- 
des, contramedidas y amenazas. Es el sistema de cálculo más ampliamente usado 
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debido a la escasa necesidad de datos precisos a priori y la calidad de los análisis 
resultantes. (Véase Tabla 1.4.) 


Más adelante, en la sección “Plan de contingencia” del Capítulo 3, se vuelve sobre estos 
conceptos al tratar el diseño de un plan de continuidad de negocio. Al fin y al cabo, la 
implantación de medidas de seguridad tiene por objeto último garantizar la continuidad del 
negocio a largo plazo. 

Existen varias herramientas y guías en el mercado para realizar un análisis de riesgos, 
entre las que destacan: 


D> 


D> 


MAGERIT: La Metodología de Análisis y Gestión de Riesgos de los Sistemas de 
Información de las Administraciones Públicas está compuesta por una serie de guías 
y una herramienta de apoyo. (Véase Figura 1.12.) 

OCTAVE: El Operationally Critical Threat, Asset, and Vulnerability Evaluation 
consiste en una estrategia para realizar análisis de riesgos y la planificación de la 
seguridad de la empresa. Octave es la metodología avalada por el CERT y está am- 
pliamente extendida por todo el mundo. 

CRAMM: CCTA Risk Analysis and Management Method es una herramienta desa- 
rrollada inicialmente por el gobierno británico para el análisis de riesgos y defini- 
ción de las buenas prácticas de seguridad. Actualmente se encuentra en su versión 5 
y es ampliamente utilizada como herramienta para el análisis de riesgos. 

COBRA: Se trata de una herramienta comercial inicialmente desarrollada por C&A 
Systems Security Ltd, que se presenta como un consultor experto y ayuda a la toma 
de decisiones en materia de seguridad. Especialmente indicada para realizar análisis 
y alineamiento con la ISO 17799. 


Análisis de amenazas comunes 


Los sistemas informáticos se enfrentan a una serie de amenazas que tienen la posibilidad de 
atentar contra la seguridad de los mismos, entre las que se pueden citar como ejemplo: 


A 


A 


Enfermedad de personal clave o de gran cantidad del personal. 
Pérdida definitiva del personal, por muerte o baja. 


Tabla 1.4. Fórmulas de análisis de riesgos. 


Concepto Fórmula 

Factor de exposición % de pérdida de activo si ocurre una 
(Exposure Factor o EF) amenaza 

Esperanza de pérdida única Valor del activo x Factor de exposición 


(Single Loss Expectancy o SLE): 

coste asociado a la pérdida de un activo 
como consecuencia de la realización 

de una amenaza 


Tasa de ocurrencia anualizada Frecuencia con que ocurre la amenaza 
(Annualized Rate of Occurrence o ARO) cada año 
Esperanza de pérdida anualizada SLE x ARO 


(Annualized Loss Expectancy o ALE) 
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Figura 1.12. Modelo MAGERIT. 


los 


Huelga del personal o rebelión interna. 

Pérdida de los sistemas telefónicos. 

Degradación o pérdida de las redes de comunicaciones. 
Pérdida del suministro eléctrico durante un corto o largo período de tiempo. 
Catástrofes ambientales: inundación, terremoto, etc. 
Fuego en las instalaciones o fuego próximo. 

Pérdida o robo de un ordenador personal. 

Robo de información alojada en soportes digitales o papel. 
Infección por virus. 

Intrusos atacando los sistemas. 

Fallos en el software. 

Terrorismo. 

Quiebra del vendedor de los sistemas informáticos. 

Ete. 


a D D D D D D D D D D D D D 


En definitiva, la lista de amenazas puede ser inacabable. El CSI elabora y clasifica todos 
años en su informe anual las más extendidas: 


Robo de información: Cualquier sustracción de información por personas no autori- 
zadas. 

Penetración en sistemas: Cualquier acceso no autorizado desde el exterior a los siste- 
mas de información de una compañía o particular. 

Abuso interno de Internet: Acceso a Internet sin acatar la política de uso del mismo 
de la compañía. Acceso a todas horas, navegación por lugares no permitidos, descar- 
ga de películas, etc. 

Virus: Cualquier tipo de código maligno. 


D> 


> 


D> 
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A Accesos internos no autorizados: Cualquier acceso no autorizado desde el interior a 
los sistemas de información de una compañía o particular. 

8 Denegación de servicio: Ataque que tiene como objetivo la privación de la disponibi- 
lidad de un sistema o conjunto de ellos. (Véase Figura 1.13.) 


Costes de los incidentes de seguridad para la empresa 


Solamente el virus Win32.Blaster causó en agosto de 2003 pérdidas a las compañías por más 
de 2.000 millones de dólares, debido a su rápida propagación y a la poca preparación de 
múltiples empresas. De manera global, en 2003, dentro de las empresas que respondieron a 
las encuestas del CSI/FBI, las pérdidas por incidentes de seguridad ascendieron a 141.5 
millones de dólares, siendo las denegaciones de servicio, con 26 millones de dólares, el robo 
de información, con 11 millones, y los accesos internos no autorizados, con 10 millones, los 
tres incidentes con mayor gasto. (Véase Figura 1.14.) 

La empresa puede realizar un análisis coste-beneficio a priori para determinar las pérdi- 
das estimadas, así como decidir las contramedidas por las que debe optar. El primer paso 
consiste en cuantificar el valor de una pérdida, esto no es sencillo, ya que por ejemplo para la 
pérdida de un CD no basta con cuantificar el precio del soporte sino que la información 
alojada en él puede tener un coste añadido de recuperación o incluso un coste de pérdida de 
imagen por su difusión. 


Virus 


— Insider abuse of 
Net access 


Labtop/mobile theft 


Unauthorized access 
to information 


System penetration 
A Denial of service 


+ Theft of proprietary 
information 


-O- Sabotage 


— Financial fraud 


—— Telecom fraud 


2004 CSI/FBI Computer Crime and Security Survey 2004: 481 Respondents 
Source: Computer Security Institute 





Figura 1.13. Amenazas, CSI 2004. 
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Source: Computer Security Institute 
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Figura 1.14. Pérdidas seguridad, CSI 2004. 


Una práctica habitual consiste en clasificar las pérdidas en base a posibles ocurrencias: 
pérdida de disponibilidad durante un minuto, un día, una semana, destrucción total de datos, 
atentado contra la confidencialidad de la información, etc. Adicionalmente al coste de la 
pérdida, se calcula el valor de la prevención para evitar o minimizar el impacto de la pérdida. 

Para evaluar la idoneidad de aplicar contramedidas se pueden realizar cálculos como por 
ejemplo el siguiente: un sistema tiene la probabilidad de quedarse sin suministro eléctrico 
durante un corto período de tiempo de 1%, si se supone que el tiempo de indisponibilidad 
más el coste de recuperación tienen un valor de 200.000 €, se obtendrá una pérdida anual 
esperada de ALE = 1% * 200.000 € = 2.000 €. La empresa en cuestión debe invertir en un 
SAL, sistema de alimentación ininterrumpida, para paliar este riesgo, nunca gastando más 
de 2.000 €. Como se explicó en el apartado anterior, mediante el uso del SAI el riesgo ha sido 
minimizado, pero no eliminado, ya que el sistema SAI también puede fallar, o el cable de 
unión, etc., si bien es cierto que el porcentaje asociado a estas ocurrencias es tan pequeño que 
mediante un análisis coste-beneficio no rentaría disponer nuevas contramedidas contra un 
fallo en las propias contramedidas. 

Cuando se calcula el coste de una contramedida, no sólo debe tenerse en cuenta el precio 
que se paga por el producto o sus licencias, sino otros muchos costes asociados: coste de 
implantación y configuración, coste anual de operación, mantenimiento, administración, 
coste anual de reparaciones y actualizaciones, ganancia o pérdida de productividad que im- 
plica, etc. Para que la implantación de la contramedida pueda considerarse rentable debe 
utilizarse la siguiente fórmula: valor neto de la contramedida = ALE antes de la contrame- 
dida - ALE después de la contramedida - coste anual de la contramedida. Si este valor es 
negativo, entonces no es rentable aplicarla. Si es positivo, la empresa saldrá ganando im- 
plantándola. Por supuesto, la mera ganancia o pérdida económica no debe ser el único crite- 
rio de evaluación. Pueden existir regulaciones legales que exijan la implantación de una 
medida o puede tratarse de medidas que salven vidas, en cuyos casos a la larga puede resultar 
más juicioso implantarlas aunque se pierda dinero. 
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Cumplimiento de leyes y estándares 


En España dos leyes encuentran su ámbito de aplicación especialmente dentro del mundo 
de los sistemas informáticos: 


La Ley Orgánica de Protección de Datos (LOPD), que sustituye a la derogada 
LORTAD. Mediante dicha ley se regula el tratamiento automático de datos de carác- 
ter personal. Adicionalmente posee un reglamento en el cual se detallan las medidas 
de seguridad a adoptar para cada tipo de dato. La LOPD se trata en profundidad en el 
Capítulo 2. 

La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico 
(LSSICE) establece las obligaciones, responsabilidades, infracciones y sanciones de 
aquellos particulares y/o empresas que operan a través de Internet. La LSSICE tam- 
bién se trata en profundidad en el Capítulo 2. 


La legislación varía de unos países a otros, si bien es cierto que la protección de los datos 
del individuo está ampliamente extendida y amparada en la cultura europea. En el ámbito 
internacional, existen otras leyes que cabe destacar: 


D> 


D> 


D> 


D> 


Health Insurance Portability and Accountability Act (HIPAA): Consiste en una ley 
aplicable en EE.UU. que protege la seguridad de los datos asociados a la salud de los 
individuos para evitar el abuso y fraude. De forma similar a la LOPD española, 
enumera una serie de medidas a cumplir desde tres puntos de vista: controles admi- 
nistrativos, físicos y técnicos, conjuntamente con unas sanciones asociadas por in- 
cumplimiento. 

Directiva Europea 93/1999: En ella se definen los conceptos de firma electrónica, 
firma electrónica avanzada y firma digital. En el texto se equipara la firma electróni- 
ca avanzada a la firma manuscrita para que tenga validez a todos los efectos, es decir, 
que un juez la debe dar por válida, mientras que con la no avanzada el juez 
debe decidir sobre su valor, o, dicho de otro modo, la firma electrónica garantiza 
autenticación mientras que la avanzada otorga autenticación e integridad. El tercer 
concepto incluido en el texto versa sobre la firma digital, la cual no sólo garantiza la 
integridad y autenticación sino que adicionalmente otorga confidencialidad y no re- 
pudio. 

Computer Fraud and Abuse Act (CFAA): De aplicación en EE.UU., regula las activi- 
dades delictivas dentro del campo de la seguridad informática. De igual modo que el 
Código Penal establece en España sanciones de manera general, esta ley regula las 
actividades fraudulentas, pero sólo las ligadas a las actividades delictivas dentro de 
los sistemas informáticos. 

The Digital Millennium Copyright Act (DMCA): Promulga que ninguna persona 
puede saltarse los controles protegidos por esta ley: se prohíbe por ejemplo la fabri- 
cación, importación o distribución de cualquier aparato destinado a desproteger un 
sistema. 

Sarbanes-Oxley Act de 2002 (SOX): Como resultado de una serie de escándalos 
financieros en Estados Unidos durante finales de los noventa, entre los que destacan 
los protagonizados por Enron, WorldCom y Arthur Andersen, esta ley impone mejo- 
res controles y auditorías en las empresas para proteger a los inversores. La ley im- 
plica profundos cambios en la forma como las sociedades anónimas trabajan con los 
auditores, en los informes financieros, en la responsabilidad de la dirección y en los 
controles internos para garantizar la confidencialidad, integridad y disponibilidad 
de la información financiera. 
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S  Gramm-Leach-Bliley Act de 1999 (GLB): Regula la privacidad y protección de los 
registros de los clientes de instituciones financieras en Estados Unidos. Además de la 
protección de la privacidad de estos registros, la ley se refiere a las salvaguardas de 
seguridad que las instituciones financieras deben implantar para proteger su 
confidencialidad, integridad y frente a accesos no autorizados. 


Conjuntamente con las leyes existen normativas y estándares internacionales que abogan 
por la seguridad informática. Los más extendidos se listan a continuación. 


Gestión de la Seguridad de la Información en España 


La norma UNE-ISO/IEC 17799:2002: “Código de buenas prácticas de la Gestión de la Segu- 
ridad de la Información”, es la traducción en castellano de la ISO/IEC 17799:2000 y equiva- 
le al BS7799:1. Desde su adopción ha emergido como el estándar internacional en gestión de 
la seguridad de la información. Con los años, se espera su rápida difusión en gran cantidad 
de empresas, pues se prevé que esta certificación les sea exigida para desarrollar proyectos 
relacionados con la seguridad en las TI o para contratar seguros contra pérdida, daño o 
divulgación de información. La implantación del estándar en una organización, especial- 
mente de gran dimensión, persigue dos importantes objetivos: por un lado, proporciona a la 
organización un marco estructurado y reconocido internacionalmente para su gestión de la 
seguridad de la información; por otro lado, transmite un mensaje a clientes y socios estraté- 
gicos de seriedad y compromiso con la seguridad, pues se han implantado los controles 
recomendados por las buenas prácticas de gestión de la seguridad de la información. La ISO 
17799 exige que se preste atención a las siguientes diez áreas: 


1. Política de seguridad. 

2. Aspectos organizativos para la seguridad. 
3. Clasificación y control de activos. 

4. Seguridad ligada al personal. 

5. Seguridad física y del entorno. 

6. Gestión de comunicaciones y operaciones. 
7. Control de accesos. 

8. Desarrollo y mantenimiento de sistemas. 
9. Gestión de continuidad del negocio. 

10. Conformidad legal y auditoría. 


La norma UNE 71501 IN: “Guía para la Gestión de la Seguridad de las T.I.” y equivale a 
la ISO/TR 13335 partes 1, 2 y 3 busca facilitar la comprensión de las TI y proporcionar 
orientación sobre los aspectos de su gestión. 

Por su parte, la reciente norma UNE 71502:2004: “Especificaciones para los Sistemas de 
Gestión de la Seguridad de la Información SGSI” incluye especificaciones para establecer, 
implantar, documentar y evaluar un sistema de gestión de la seguridad de la información. 


Normas Internacionales 


Entre las normas de vigencia internacional más importantes destacan: 


ISO/IEC 17799:2000: “Information Technology - Code of Practice for Information 
Security Management”. 

Â ISO/IEC TR 13335: “Information Technology - Guidelines for the management of 
IT security” (GMITS). 
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Â BS7799:1: “Information Security Management - Part 1: Code of practice for 
information security management”. 

S  BS7799-2:2002: “Information Security Management - Part 2: Specifications for an 
ISMS”. 


Criterios de seguridad para la clasificación de seguridad de sistemas 


Cabe destacar el ITSEC, aplicable en Estados Unidos, y el homólogo europeo, TCSEC, así 
como la fusión de ambos, junto con otros criterios en Common Criteria (CC). Los Criterios 
Comunes (CC) representan el nuevo estándar internacional para la especificación y evalua- 
ción de características de seguridad de productos y sistemas informáticos. 

El Manual de la Metodología Abierta de Testeo de Seguridad (Open Source Security 
Testing Methodology Manual u OSSTMM) es un estándar profesional para las pruebas de 
seguridad en cualquier entorno informático, desde el exterior al interior. Como cualquier 
estándar profesional, incluye los alineamientos de acción, la ética del evaluador profesional, 
la legislación sobre pruebas de seguridad y un conjunto integral de pruebas. Su objetivo es 
crear un método aceptado para ejecutar un test de seguridad minucioso y cabal. 


La seguridad para el particular 


El fin al que los particulares destinan sus ordenadores por lo general difiere radicalmente del 
de las empresas. El uso más frecuente en el hogar se relaciona con el ocio y el entretenimien- 
to. En consecuencia, la mayor parte de software instalado tendrá relación con juegos en 
solitario y en red, reproducción multimedia, programas de descarga de archivos tipo P2P, 
navegación Web, correo electrónico, mensajería instantánea, videoconferencia, chat, foto- 
grafía digital, etc. 

A veces también se utiliza el ordenador para llevarse a casa trabajo de la oficina e incluso 
se conecta a la red de la empresa para copiar documentos. Por tanto, no es extraño encontrar- 
se además del software anterior, aplicaciones ofimáticas, como Microsoft Office, y a lo mejor 
paquetes de gestión, como ContaPlus. Normalmente se cuenta con uno o dos ordenadores, 
rara vez más, y una conexión ADSL o un módem. Cuando hay más de un ordenador en la 
casa, en los últimos tiempos se tiende a utilizar una red inalámbrica para soslayar los proble- 
mas prácticos de cableado y así poder compartir documentos y el acceso a Internet. El uso 
suele repartirse entre adultos, jóvenes y niños. 

De igual modo, el entorno o contexto de seguridad del usuario particular es muy diferente 
del empresarial. Las dos grandes amenazas externas a las que se ven expuestos los particula- 
res, al igual que ocurre con las empresas grandes y pequeñas, son los hackers y el malware. 


La problemática de los hackers 


Cuando se habla de ataques de hackers, muchos usuarios particulares o incluso de pequeñas 
empresas consideran que se encuentran a salvo porque ellos no poseen ningún secreto co- 
mercial ni político, ni los planos del último prototipo de avión antirradar, ni sus archivos 
interesan a nadie. “No hay nada de valor en mi ordenador”, alegan, “¿por qué alguien iba a 
querer hackearme”?”. Este argumento es completamente falaz. Todo usuario, por modestos 
que sean sus recursos, posee dos importantes activos: espacio de disco y ancho de banda. Por 
supuesto que un hacker no tiene ningún interés en sus archivos ni datos. No busca ningún 
secreto de estado en su ordenador. Usted no es el blanco deliberado de un atacante que pone 
en ello todos sus recursos (strategic attack). Lo que persiguen al atacarle no es otra cosa que 
disponer de su disco duro y de su conexión a Internet. ¿Para qué los quieren? Existen infini- 
tas razones: 
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Atacar otros ordenadores desde el suyo, que es utilizado como puente de ataque 
(¡ump-point). De esta manera, todos los rastros de auditoría en el servidor final seña- 
larán a su ordenador y no al del atacante. 

Crear ataques coordinados de denegación de servicio contra grandes servidores utili- 

zando miles de pequeños ordenadores como el suyo (zombies). Este tipo de ataque se 

conoce como denegación de servicio distribuido (Distributed Denial of Service o 

DDoS) y es un ataque contra la disponibilidad. 

A Instalar servidores de software pirata o de peliculas o de música. En muchas empre- 

sas y hogares, el ancho de banda parece decaer rápidamente y un buen día se encuen- 

tran con que no queda espacio libre en disco. Buscando, buscando, ¿qué se descubre? 

Que en un directorio perdido existe toda una colección de software pirata, a la que se 

accedía mediante un servidor de FTP que usted nunca instaló. 

A Enviar spam. Por modesto que sea su ancho de banda, se pueden enviar desde su 
equipo millones de correos basura. 

8 Iniciación. Muchos hackers van realizando su aprendizaje empezando con blancos 
fáciles, como ordenadores domésticos totalmente desprotegidos. Después dan el sal- 
to a pequeñas empresas, también muy desprotegidas. Y de ahí van escalando lenta- 
mente a medida que maduran sus habilidades. 


D> 


Por tanto, olvídese de que usted no es una víctima. ¡Por supuesto que lo es! Y además 
muy apetitosa, porque el atacante asume que su capacidad de detección y respuesta será 
infinitamente menor que la de una gran organización. En este libro se explican las 
contramedidas que puede aplicar para desmontar esta hipótesis y convertirse en un hueso 
duro de roer. 

Otro error común consiste en pensar que nadie le conoce, que no tiene página Web ni 
nada similar, por lo que ningún hacker puede llegar hasta usted. Y tiene toda la razón. 
Ningún hacker le conoce, ni falta que le hace. Lo que conocen es su dirección IP. Para el 
hacker, la suya es una dirección IP más, dentro de un rango aleatorio que está escaneando 
con alguna herramienta automatizada (random attack). El tiempo medio que transcurre des- 
de que un ordenador se enciende y se conecta a Internet hasta que comienza a ser atacado es 
de 15 minutos. En otras palabras, sea cual sea su dirección IP, sin importar si es dinámica, es 
decir, si cada vez que se conecta a Internet su proveedor de acceso le asigna una nueva, en 
menos de 15 minutos ya estará siendo atacado. Si no tiene un router configurado como 
cortafuegos y/o un cortafuegos personal en su equipo, dése por muerto. Tenga en cuenta que 
los hackers, especialmente los aficionados (script kiddies), no suelen atacar blancos concre- 
tos, sino blancos aleatorios comprendidos dentro de un rango de direcciones IP. Por eso usted 
será atacado inexorablemente: por poseer una dirección IP, no por ser quien es. 


La problemática del malware 


Por si no fuera suficiente con la amenaza de los hackers, además el mero hecho de estar 
conectado a Internet le expone también a ataques de virus y gusanos. 

Todo el software dañino para los sistemas es conocido como malware, englobándose 
dentro del término a virus, gusanos, troyanos, bombas lógicas y demás artillería que pueda 
circular por el mundo digital. 


Virus: Los virus son programas, normalmente dañinos, que se añaden a ficheros 
ejecutables y tienen la propiedad de ir replicándose por los sistemas y/o ficheros 
adyacentes. Se denominan virus por analogía con los causantes de enfermedades 
sobre el cuerpo humano. Los virus informáticos pueden causar “muertes” de siste- 
mas o simplemente provocar alertas que no llegan a más. 
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A Gusanos: Los gusanos son piezas de código que se replican por la red de forma 
automática, para lo que se valen de vulnerabilidades de sistemas o del desconoci- 
miento de los usuarios. Como resultado del proceso de copia masivo, los gusanos 
pueden saturar el ancho de banda de la red o utilizar todo el espacio de disco de un 
sistema, por lo que los costes de indisponibilidad que provocan suelen ser considera- 
bles. 

§ Troyano: De igual manera que en la antigua Troya los soldados griegos se escondie- 
ron dentro de un supuesto regalo, un caballo de madera, los troyanos son programas 
que poseen puertas traseras y son invocadas por los intrusos. 


Todo el malware está circulando por la red o se transmite en disquetes, en CD y DVD, 
etcétera. En el momento en que se ejecuta, el sistema queda infectado. La protección de los 
sistemas ante esta plaga puede ser por dos vías: el sentido común y las herramientas de 
seguridad. El sentido común es la primera arma de que se dispone para poder evitar ser 
infectado: ejecutando sólo programas provenientes de fuentes confiables se tendrá un peque- 
ño grado de exposición a los virus. De igual manera que evitando contacto con los virus 
biológicos el contagio es difícil, limitando al máximo la ejecución de programas no confiables 
se evita el malware. El segundo punto de protección viene de la mano principalmente de los 
programas antivirus, que examinan todos los archivos del sistema en busca de patrones que 
pudieran ser considerados virus o código maligno, informando al usuario de lo encontrado 
para su posterior borrado o cuarentena. En la sección “Protección contra malware” del Capí- 
tulo 5 se cubre en profundidad este tema, que aquí se ha introducido someramente. 


Otras problemáticas de seguridad 


Desafortunadamente, los problemas de seguridad de los particulares no se acaban con los 
hackers y el malware. Entre los más serios se encuentran los siguientes: 


Problemas de disponibilidad causados por errores de hardware o software que hacen 

perder archivos: La mayoría de usuarios particulares no ha puesto en práctica una 

estrategia de copias de seguridad. De vez en cuando se copia algo a un CD, pero sin 
orden ni concierto. En la sección “Recuperación de sistemas” del Capítulo 3 se expli- 
ca cómo diseñar y llevar a la práctica una estrategia tal. 

A Problemas de privacidad: Los ordenadores domésticos son compartidos por varios 
usuarios, por lo que resulta frecuente que unos accedan o quieran acceder a los datos 
de otros. En la sección “Confidencialidad en el almacenamiento de datos” del Capí- 
tulo 3 se explica cómo cifrar los archivos, mientras que en la sección “Fortalecimien- 
to del sistema operativo” del Capítulo 5 se explican otras medidas para limitar el 
acceso de los usuarios al sistema de archivos. 

A Instalación compulsiva de programas: Algunos usuarios son instaladores compulsivos: 

instalan todo software gratuito o de prueba que encuentran. Como consecuencia, al 

cabo del tiempo el ordenador verá reducido su rendimiento, se encontrará infestado 
de spyware y en el caso peor de virus y troyanos. En la sección “Fortalecimiento del 
sistema operativo” del Capítulo 5 se explican algunas medidas para restringir la 
instalación y ejecución de software en el equipo. En la sección “Protección frente al 
spyware y programas espía” del Capítulo 2 se explica en qué consiste y cómo evitarlo. 

A Gasto telefónico: Todavía son muchos los usuarios que usan módem para conectarse 
a Internet. Estos usuarios se enfrentan al gasto desmedido provocado por programas 
que usan números de tarificación especial (dialers) o simplemente por la navegación 
durante horas. En la sección “Protección de acceso con módem telefónico” del Capí- 
tulo 4 se trata la protección frente a estos riesgos. 
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Â Timos, fraudes y otros ataques económicos: La mayor parte de usuarios de informá- 
tica que sucumben a estas amenazas presentes en la Red son particulares. Son trata- 
dos en la sección “La ingeniería social y sus variantes” del Capítulo 5. 

8 Sexo y violencia: La posibilidad de acceso ilimitado a pornografía preocupa espe- 
cialmente a los padres. En el Capítulo 5 se explica cómo limitar los contenidos que 
pueden accederse desde un ordenador. 


Soluciones de seguridad para el particular 


La mayor parte de particulares nunca se ha planteado la seguridad como un objetivo priori- 
tario. De hecho, ni siquiera están familiarizados con conceptos como los cortafuegos, la 
detección de intrusos, el cifrado, la auditoría o el fortalecimiento de sistemas. Pero que des- 
conozcan muchos de los conceptos de seguridad no significa que no puedan llegar a implan- 
tarlos en sus propios sistemas con un gasto y esfuerzo mínimos. A continuación se mencionan 
una gran cantidad de tecnologías de seguridad incorporadas al sistema operativo Windows 
XP que pueden utilizarse para implantar diversos controles de seguridad: 


Windows XP trae su propio cortafuegos. 


Â Mediante sus directivas de seguridad se puede restringir todo el software que se 
ejecuta en el equipo. 

A Proporciona cifrado transparente y seguro del sistema de archivos. 

A Posee capacidades de auditoría muy avanzadas. 

A Viene con su propia herramienta de copias de seguridad, no muy sofisticada, pero 
= ciertamente práctica. 

A Su sistema de archivos NTEFS soporta las listas de control de acceso para restringir el 
acceso a los recursos del sistema. 

A Permite montar una red privada virtual (VPN) para comunicar equipos de manera 


segura a través de una red pública insegura. 

A Proporciona una herramienta para gestionar la notificación, descarga e instalación 
de actualizaciones de seguridad. 

S Permite configurar una red inalámbrica de manera segura. 


Todos estos elementos vienen incorporados ya con el sistema operativo. Por no mencio- 
nar un número prácticamente ilimitado de herramientas gratuitas que se pueden descargar 
desde el sitio Web de Microsoft y desde un sinfín de sitios dedicados a la seguridad. En otras 
palabras, los usuarios tienen a su disposición un amplio abanico de herramientas de seguri- 
dad con las que implantar todos los controles necesarios para salvaguardar sus activos. Este 
libro le enseñará a utilizarlas. 

Para un particular o una pequeña empresa, la defensa en profundidad introducida en la 
sección anterior (vea la Figura 1.10) se reduce a tres mandamientos: 


1. Utilice cortafuegos. Si el número de equipos de su organización es muy reducido, 
considere utilizar cortafuegos personales en cada uno, lo que se suele llamar 
cortafuegos distribuido (distributed firewall). A partir de una docena de equipos, 
considere utilizar un cortafuegos dedicado. Un router con una configuración adecua- 
da de sus filtros también puede hacer las veces de cortafuegos. Este tema se trata en 
profundidad en el Capítulo 4. 

2. Manténgase al día con los parches y actualizaciones de seguridad de todos sus equi- 
pos. La manera como hacerlo se cubre en el Capítulo 5. 

3. Instale un antivirus en todos sus equipos y asegúrese de que está siempre activo y 
actualizado. Preferiblemente, utilice una solución antivirus que se actualice automá- 
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ticamente para que no haya lugar a olvidos. Para aumentar la seguridad, considere 
utilizar un segundo antivirus en la pasarela de correo si dispone de ella. La gestión 
de antivirus se analiza en el Capítulo 5. 


Sin importar cuáles sean sus expectativas de seguridad ni los riesgos particulares a los 
que se enfrenta, el mero hecho de conectar un equipo a Internet, aunque sea durante cortos 
períodos de tiempo, ya lo está exponiendo a un aluvión de ataques procedentes de hackers y 
virus. La aplicación religiosa de parches y actualizaciones de seguridad les priva de la opor- 
tunidad de ataque al eliminar la gran mayoría de vulnerabilidades que pueden explotar. El 
cortafuegos impide el acceso de programas maliciosos tanto desde el exterior hacia su equi- 
po, como desde su equipo hacia el exterior. Por último, los antivirus pueden detectar y blo- 
quear aquellos ataques víricos capaces de pasar a través del cortafuegos, por ejemplo porque 
llegan con el propio correo, que explotan agujeros de seguridad para los que no existe parche 
o que explotan una configuración excesivamente permisiva del equipo. 

Ni que decir tiene que la seguridad no se reduce a esos tres elementos, pero desde luego 
constituyen un buen principio. Empiece por ahí y a continuación decida cuáles son sus obje- 
tivos de seguridad. Seguro que comparte más de uno de entre los de la lista de la Tabla 1.5. 
Puede elegir para cada objetivo las medidas de seguridad que mejor se adapten a su entorno 
o a su nivel de conocimientos. Por supuesto, la lista no pretende ser exhaustiva ni en cuanto 
a los objetivos propuestos ni en cuanto a las posibles medidas de seguridad sugeridas para 


Tabla 1.5. Expectativas de seguridad y medidas a implantar para cumplirlas en un 
entorno doméstico. Cuando se listan varias medidas, en algunos casos es 
necesario implantarlas todas para alcanzar el objetivo. Los números entre 
paréntesis corresponden a los capítulos donde se explica la medida. 


Objetivo de seguridad Posibles medidas de seguridad 


Evitar que entren los hackers Utilizar un cortafuegos (4) 
Mantenerse al día con parches y actualizaciones de 
seguridad (5) 

Impedir infecciones de virus Utilizar un antivirus (5) 
Utilizar un cortafuegos (4) 
Mantenerse al día con parches y actualizaciones de 
seguridad (5) 
Controlar la ejecución incontrolada de software en 
el equipo (ver objetivo) 
Nunca abrir archivos adjuntos (5) 
Abrir el correo en formato texto, no HTML (5) 

Controlar el acceso al equipo Utilizar una cuenta protegida con contraseña para 
cada usuario (5) 
Habilitar las directivas de contraseñas para evitar 
malas contraseñas y ataques de fuerza bruta (5) 
Habilitar las listas de control de acceso sobre 
archivos (5) 

Recuperarse de un ataque o Crear copias de seguridad de la información 

de un error de software o hardware importante (3) 

que destruya o corrompa los datos Nombrar un miembro de la familia encargado 

del disco duro de realizar las copias de seguridad con una 
frecuencia semanal (3) 
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Expectativas de seguridad y medidas a implantar para cumplirlas en un 


entorno doméstico. Cuando se listan varias medidas, en algunos casos es 
necesario implantarlas todas para alcanzar el objetivo. Los números entre 
paréntesis corresponden a los capítulos donde se explica la medida (cont.). 


Objetivo de seguridad 


Controlar la ejecución incontrolada 
de software en el equipo 


Limitar el uso de Internet 

que hacen otros usuarios del equipo 
Proteger los datos personales 

frente a la curiosidad de otros 
usuarios del equipo 


Evitar que los vecinos salgan 

a Internet utilizando mi conexión 
inalámbrica 

Mantener la factura de teléfono 
bajo control 


Mantener a raya el spam 


Eliminar los molestos 
anuncios al navegar 


Navegar por Internet 
sin sobresaltos de seguridad 


Posibles medidas de seguridad 


Utilizar para el trabajo cotidiano de todos los 
usuarios cuentas sin privilegios administrativos (5) 
Utilizar las directivas de restricción de ejecución de 
software (5) 

Utilizar software antivirus y de detección 

de intrusos (5 y 6) 

Utilizar un cortafuegos (4) 

Instalar software de control de contenidos o 
contratar el servicio con el proveedor de Internet (5) 
Habilitar las listas de control de acceso sobre 
archivos (5) 

En un caso extremo, utilizar cifrado (3) 

Eliminar los rastros del uso del ordenador y borrar 
los datos de manera irrecuperable (2) 

Nunca seleccionar la opción de almacenar 
contraseñas al visitar sitios Web (5) 

Guardar los datos en un disco USB o en un CD o 
DVD regrabable, lejos del alcance de curiosos, en 
lugar de en el disco duro 

Utilizar salvapantallas con contraseña cuando se 
abandona temporalmente el equipo (3) 

Habilitar la protección de redes WiF1 (4) 


Utilizar software de control del gasto telefónico (4) 
Bloquear el acceso a números 906 y similares en el 
ordenador o directamente con la compañía 
telefónica (4) 

Controlar la ejecución incontrolada de software en 
el equipo (ver objetivo) 

Utilizar diferentes cuentas de correo Web (5) 
Utilizar un cliente de correo con filtros antispam (5) 
Utilizar un programa de filtrado de spam para 
Outlook Express (5) 

Utilizar un navegador alternativo a Internet 
Explorer, como Opera o FireFox (5) 

Utilizar una barra de navegación para Internet 
Explorer que los bloquee, como la barra Google o 
Power IE (5) 

Dejar de utilizar Internet Explorer, a favor de otros 
navegadores como Opera o FireFox (5) 

Utilizar software antivirus y de detección 

de intrusos (5 y 6) 

Utilizar un cortafuegos (4) 
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cada uno. Su principal cometido es ilustrar el proceso de la gestión de la seguridad: se 
plantea un objetivo y se buscan las medidas de seguridad que pueden cumplirlo. Porque su 
vecino o amigo utilice tal o cual producto de seguridad no significa que usted también lo 
necesite. Piense mejor en cuáles son sus necesidades reales de seguridad y en la forma como 


debe garantizarlas, en lugar de empezar la casa por el tejado. 
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Si la privacidad se criminaliza, sólo los 
criminales tendrán privacidad. 


PHILIP ZIMMERMANN, "WHY DO YOU NEED PGP?”", 
DOCUMENTACIÓN DE PGP, 1995. 
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| anonimato en Internet se presenta como una moneda de dos caras. Según el diccio- 

nario de la Real Academia Española de la Lengua, anónimo, dicho de un autor, signi- 

fica que su nombre se desconoce o que carece de él. Pero el diccionario también añade 
otra acepción: “carta o papel sin firma en que, por lo común, se dice algo ofensivo o desagra- 
dable”. De alguna manera, pues, se reconoce implícitamente que quien busca el anonimato 
lo hace movido por intereses oscuros, tal vez ilegales: difamación (cybersmearing), espiona- 
je, hacking, comisión de fraudes, etc. Las modernas Tecnologías de la Información (TI) en 
general y de Internet en particular constituyen un arma de doble filo. Por un lado, permiten 
inmiscuirse en la vida privada de los ciudadanos y empleados, mientras que por otro lado 
sirven para protegerla. 

El ciberespacio puede proporcionar a primera vista una falsa sensación de seguridad y 
anonimato. Cuando uno navega, chatea, descarga programas o envía mensajes de correo 
desde su hogar u oficina, nada parece indicar que alguien pueda seguir sus andanzas. Sin 
embargo, nada más lejos de la realidad. Las páginas que lee, las fotos que ve, los programas 
o canciones que descarga a su ordenador, los correos que envía y recibe, las conversaciones 
que mantiene en el chat, todo deja un rastro que conduce directamente hasta usted. 

Cada vez que visita un sitio Web, éste conoce automáticamente la dirección IP de su 
ordenador, a menudo aunque esté detrás de un proxy, sabe qué tipo de navegador utiliza, cuál 
es su sistema operativo, el tamaño de su pantalla, las fuentes que utiliza, la página desde la 
que procede y a veces incluso su dirección de correo electrónico, la cual incluye con frecuen- 
cia su nombre completo y pistas sobre su lugar de trabajo. Con ayuda de las cookies se puede 
personalizar aún más la información recabada acerca de los visitantes, registrando las págl- 
nas más visitadas, sus preferencias, sus hábitos de compra (no sólo lo que han comprado, 
sino incluso qué artículos se han examinado y luego no han sido adquiridos), dónde han 
estado, duración de la visita, etc. S1 además se revela confiadamente información personal al 
rellenar formularios Web para suscribirse a servicios gratuitos o participar en sorteos, enton- 
ces el rastro procedente desde el ordenador será fácilmente vinculable a una persona con 
nombre y apellidos. Y adiós a la utopía del anonimato. 

La combinación de todos estos elementos permite la confección de perfiles de usuario 
cada vez más exhaustivos y detallados, con información muy personalizada que puede ad- 
quirir un valor considerable en manos de casas publicitarias y agencias de marketing, y por 
la que generalmente se paga mucho dinero. En la incipiente Sociedad de la Información, uno 
de los activos más valiosos de las nuevas empresas punto com son precisamente sus bases de 
datos de clientes potenciales. La información adquiere cada vez más valor, especialmente la 
información acerca de las personas. 

Admitiendo que el anonimato puede servir para encubrir conductas criminales o 
reprobables, no es menos cierto que debe reconocerse la legítima aspiración del ciudadano a 
preservar su anonimato e intimidad cuando hace uso de Internet. Tiene derecho a que no se 
confeccionen perfiles sobre su persona sin su conocimiento ni consentimiento. Tiene dere- 
cho a que no se comercie con sus datos personales. Las empresas están obligadas a mantener 
en secreto y a buen recaudo sus datos de carácter personal. En este capítulo se ofrecen técni- 
cas y herramientas para proteger su anonimato y privacidad y ejercer ese derecho a pesar de 
los esfuerzos intrusivos de gobiernos y compañías. El contenido del capítulo se ha organiza- 
do en torno a los siguientes temas: 


Navegación anónima a través de Internet mediante el uso de proxies. 

Envío de mensajes de correo electrónico anónimos. 

Protección contra el spyware y programas espía. 

Funcionamiento, usos y riesgos de las cookies. 

Eliminación del equipo de rastros que puedan comprometer la privacidad y borrado 
seguro de archivos. 


>> DD 
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8 Obligaciones de las empresas con respecto a la Ley de Protección de Datos de Carác- 
ter Personal (LOPD) y la Ley de Servicios de la Sociedad de la Información y Comer- 
cio Electrónico (LSSICE). 


Navegación anónima 


Cuando utiliza su navegador para explorar la Red, y por ende cualquier programa que utilice 
servicios de Internet, revela inevitablemente su dirección IP. Una persona firmemente deter- 
minada y con los recursos adecuados, puede llegar hasta su identidad real simplemente a 
partir de ese dato, ya que queda registrado de manera rutinaria en todos los sitios Web que 
visita. Es lo mismo que sucede cuando llama por teléfono: se registra el número del llamante 
cuya identidad conoce la compañía telefónica. 

En el caso de Internet, dependiendo del ordenador desde el que se conecte, éste siempre 
tendrá asignada la misma dirección IP o bien su proveedor de acceso a Internet (Internet 
Service Provider o ISP) le asignará dinámicamente una dirección IP, en cuyo caso conserva 
en sus propios registros quién tuvo qué dirección a qué hora. 

Estas compañías están obligadas por ley a conservar estos registros durante doce meses. 
En ambas situaciones, siempre se sabe qué número de teléfono o qué equipo poseía en cada 
momento cada dirección IP. 

Si desea navegar o utilizar cualquier servicio de Internet sin que el servidor al que se 
conecta llegue a conocer su verdadera dirección IP, puede conseguirlo mediante el uso de 
proxies. Un servidor proxy es un equipo de red que sirve de intermediario de conexión entre 
un cliente y un servidor. 

El cliente envía la petición al proxy, el cual la reexpide al servidor. Este envía la respues- 
ta al proxy, quien a su vez la reexpide de vuelta al cliente. Los proxies suelen utilizarse 
normalmente con uno o varios de los siguientes propósitos: 


Centralización de la gestión de la seguridad: En vez de configurar la seguridad en el 
acceso a páginas Web u otros servicios individualmente en cada equipo de una red, se 
configura en el proxy, dispositivo que actúa de pasarela a través de la cual están 
obligados a pasar los tráficos generados por cada uno de los equipos de la red. De 
esta manera se pueden controlar los URL accedidos, las descargas realizadas, los 
contenidos visitados, etc. Vea la sección “Control de contenidos de páginas Web” en 
el Capítulo $5. 
Enmascaramiento de direcciones IP: Todos los equipos que se encuentren detrás del 
proxy saldrán a Internet compartiendo la misma dirección IP. Las direcciones IP se 
representan mediante números de 32 bits, elevándose su número a un total de 
4.294.967.296 posibles direcciones. Aunque este número pueda parecer gigantesco, 
en realidad es muy pequeño habida cuenta de la extraordinaria cantidad de disposi- 
tivos conectados a Internet en todo el mundo. Este mecanismo permite utilizar una 
única dirección para que numerosos equipos accedan a Internet, ahorrándose por 
tanto direcciones IP. 

8 Caché de documentos: Los proxies almacenan una copia de los documentos y pági- 
nas Web solicitados. Si más adelante otro usuario detrás del proxy solicita el mismo 
documento, en vez de solicitarse de nuevo al servidor Web correspondiente, se recu- 
pera desde la copia en disco, ahorrándose tiempo y ancho de banda. 


D> 


Con el fin de aumentar el anonimato pueden utilizarse diferentes tipos de proxy, cuyas 
características, ventajas e inconvenientes serán tratados en detalle en las siguientes páginas. 
En concreto, se analizarán los siguientes tipos de proxies: CGI o anonimizadores, HTTP y 
SOCKS. 


50 Seguridad informática para empresas y particulares 


Proxies CGl o anonimizadores 


Una de las formas más sencillas de navegar anónimamente, es decir, de ocultarle al servidor 
Web la dirección IP propia, consiste en utilizar un servicio Web de anonimato. Estos servi- 
cios de navegación anónima, también llamados proxies CGI o anonimizadores, actúan a 
modo de filtro de seguridad entre el navegador y el sitio Web visitado. Primero se conecta 
con su navegador al anonimizador, cuya interfaz es muy similar a la de los buscadores. 
Introduce el URL de la página que desea cargar anónimamente y ordena al anonimizador 
que se adentre en la Red en busca de la página en lugar de hacerlo su propio navegador. 
Cuando el proxy CGI la haya recuperado, se la presentará en su navegador como si nada 
especial hubiera sucedido. Si posteriormente a lo largo de su sesión de navegación va si- 
guiendo enlaces de una página a otra, todas las nuevas páginas visitadas se presentarán 
asimismo a través del anonimizador. 

En estas circunstancias, el sitio Web habrá registrado la dirección del anonimizador y no 
la suya, con lo cual habrá conseguido que no pueda vincularse con usted su visita a esa 
página. En la práctica, como ya ha ocurrido en alguna ocasión, un juez podría obligar al 
servicio de anonimato a que entregase las direcciones IP de todas las máquinas que navega- 
ron cierto día a cierta hora. Por este motivo, muchos de los anonimizadores anuncian que no 
guardan registros (logs), precisamente para evitar tener que entregarlos bajo requerimiento 
judicial. Pero, aun así, habría que resolver su dirección IP, lo que exigiría acceder a los 
registros del ISP. Como puede verse, la solución no es perfecta, pero aumenta de forma 
considerable el grado de anonimato. 

Existe una gama muy amplia y diferenciada de servidores de navegación anónima. Todos 
ellos ofrecen un servicio gratuito, aunque de muy inferior calidad. Las versiones gratuitas o 
de prueba insertan publicidad, suelen ofrecer un conjunto de características muy limitado y 
resultan generalmente mucho más lentos. En la Tabla 2.1 se proporciona una lista de servi- 
cios de navegación anónima o proxies CGI. La mayor ventaja que presentan frente a otros 
tipos de proxy que se verán más adelante es que no requieren ningún cambio en la configu- 
ración del navegador ni que se instale ningún software especial. Otra ventaja muy importan- 
te es que no se limitan a ocultar la dirección IP del equipo cliente, sino que además incorporan 
importantes filtros de contenidos Web, como los siguientes: 


Prohibir la ejecución de contenido activo en una página Web: controles ActiveX, 
applets de Java, programas en JavaScript, animaciones en Flash, etc. Más adelante 
en la sección “Protección contra malware” del Capítulo 5 se analiza el impacto sobre 
la seguridad de este tipo de contenido. 

Prohibir el envío y recepción de cookies. 

Cifrar el URL que se está utilizando. 

Cifrar el contenido de las páginas visitadas con SSL. 

Eliminar las molestas ventanas de PopUp. 


a D D D 


Un truco especial para paranoicos consiste en encadenar varios anonimizadores de los que aparecen 
en la Tabla 2.1. Por ejemplo, se introduce en el navegador la dirección de The Cloak; una vez en The 
Cloak, se introduce la de @nonymouse; desde él se acude a Megaproxy, y así sucesivamente. Se verá 
incrementado el anonimato hasta límites extremos, aunque también la lentitud de navegación. 


Proxies HTTP 


Otra método para ocultar su dirección IP mientras navega consiste en utilizar un servidor 
proxy HTTP. La idea básica de este tipo de proxy consiste en actuar de pasarela entre su 
máquina o su red e Internet. El proxy HTTP espera una petición del usuario y la reexpide al 
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Tabla 2.1. Servicios de navegación anónima. 

Nombre URL Descripción 

The Cloak www.the-cloak.com La versión gratuita incluye publicidad 
y limita drásticamente el número 
de peticiones. 

Guardster www.guardster.com La versión gratuita incluye publicidad 
y resulta extremadamente lento. 

Anonymizer.com  Www.anonymizer.com La versión gratuita filtra demasiadas 


direcciones como para resultar útil 
y es muy lento. 

(Vnonymouse anonymouse.ws Sólo existe el servicio gratuito. 
Incluye publicidad, pero su velocidad 
es aceptable y sólo limita ligeramente 
el funcionamiento de las páginas Web. 

Megaproxy WWW.MEegaproxy.com La versión gratuita no incluye 
publicidad. Incorpora una cómoda 
barra de navegación. Es rápido 
y eficiente, pero limita JavaScript 
y otras funciones avanzadas de 
la versión de pago. (Véase Figura 2.1.) 

IDzap WWW.IdZap.com Exige registrarse previamente. 

¡Prive.com WWW.Iprive.com Servicio exclusivamente de pago. 


servidor remoto en Internet, lee la respuesta y la envía de vuelta al cliente. Así pues, el proxy 
HTTP actúa de manera semejante a un proxy CGI, ya que es él el que recupera las páginas 
Web, en lugar de la persona que está navegando. Para configurar un proxy HTTP en su 
navegador, se deben seguir los siguientes pasos. 


1. Seleccione Herramientas>Opciones de Internet>-Conexiones. (Véase Figura 2.2.) 

2. Pulse el botón Configuración de LAN. 

3. Verifique la casilla Utilizar servidor proxy para su LAN y rellene los campos Di- 
rección y Puerto con los datos correspondientes. 

4. Pulse Aceptar dos veces. 


La ventaja de los proxies HTTP frente a los proxies CGI analizados en la sección anterior 
radica en que pueden ser utilizados por cualquier programa que soporte el uso de proxies, 
como por ejemplo buscadores, programas de gestión de descargas, programas de navegación 
off-line, etc. 

Una vez que sabe cómo configurar un proxy en su navegador o en su programa concreto, 
lo que necesita es una buena lista de proxies HTTP anónimos, que de verdad oculten su 


FASA £2) Address http: ¿Mwrww.neurocrypt. corn Po X| + E > Gif Bookmark Eg Options 





Figura 2.1.  Megaproxy le permite navegar de forma anónima: los servidores Web a los 
que se conecte verán la dirección IP de Megaproxy, no la suya. 
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AAA A e 


Configuración automática 


La configuración automática puede superponerse a la manual, Para evitar 
que esto ocurra, deshabilite la configuración automática. 


[| Detectar la configuración automáticamente 


PF] Usar secuencia de comandos de configuración automática 


Servidor proxy 


Utilizar un servidor proxy para su LAN, Esta configuración no se 
aplicará a conexiones de acceso telefónico o de redes privadas 
virtuales (PRD, 


Dirección: | austici org Puerto: | 50860 


[| Mo usar servidor proxy para direcciones locales 


Cancelar 





Figura 2.2. Configuración de proxies en Internet Explorer. 


dirección IP. Puede consultar las siguientes páginas en las que encontrará listados de proxies 
anónimos: www.multiproxy.org, www.proxys4all.com, www.stayinvisible.com. 

Siempre con el fin de hacerle la vida más fácil existen programas que se encargan de 
buscar proxies HTTP, verificar si funcionan y si realmente ocultan la identidad (muchos 
proxies públicos de los que encontrará en esos listados reenvían la dirección IP del usuario, 
eliminando todo anonimato). Los más populares se listan en la Tabla 2.2. Para evitarle al 
usuario el trabajo de configurar el navegador u otros programas, algunos de ellos incluyen 
un proxy local que opera en la dirección 127.0.0.1 y en un puerto preestablecido. El navegador 
O programa en cuestión se configura con esta dirección y puerto y luego la herramienta de 
proxy ya se encarga de hacer la conversión adecuadamente. 

La manera como el servidor Web conoce información acerca de los equipos que realizan 
peticiones es a través de una serie de cabeceras HTTP: 


REMOTE_ADDR: La dirección IP de donde procede la petición Web. Si no existe 
ningún proxy intermedio, será la del equipo del usuario. Si existe un proxy, será la de 
éste. 

HTTP_X_FORWARDED_FOR: La dirección IP del cliente detrás del proxy. 
HTTP_VIA: La información sobre el proxy que está realizando la petición en bene- 


ficio del usuario. 
CLIENT_IP: La dirección IP del cliente. 


un D> D> 


Las tres últimas cabeceras las rellena el proxy y por tanto solamente están presentes en la 
petición Web cuando ésta la realiza un proxy, no cuando el cliente realiza las peticiones 
directamente al servidor Web. 

Como ya se ha mencionado, no todos los proxies HTTP ocultan la identidad del cliente. 
Existen diferentes tipos de proxies HTTP, proporcionando niveles variables de anonimato en 
función de la forma como rellenan las cabeceras descritas anteriormente: 


Transparentes: Estos proxies no son anónimos en absoluto. En primer lugar, permi- 
ten saber al servidor Web que la petición proviene de un proxy. En segundo lugar, le 
proporcionan al servidor Web la dirección IP del equipo detrás del proxy que originó 
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Tabla 2.2. Programas para ayudarle en la elección de proxies anónimos. 


Nombre URL Descripción 


HiProxy www.helgasoft.com/hiproxy Permite cargar archivos con listas 


de proxies anónimos, los verifica 
y configura el navegador para 
utilizar el proxy seleccionado. 


Multiproxy www.multiproxy.org Carga una lista de proxies 


anónimos. El propio programa 
actúa como proxy utilizando 
los de la lista para navegar 
anónimamente. El navegador 
se configura con la dirección 
127.0.0.1. 


Anonymity 4 Proxy www.inetprivacy.com Funciona de forma muy parecida. 


Permite rotar cíclicamente entre 
los proxies seleccionados 


en la lista. 
Steganos Internet wWw.steganos.com Utiliza una larga lista de proxies 
Anonym públicos anónimos entre los cuales 


D> 


D> 


va rotando ciclicamente. También 
protege frente a publicidad 
y código malicioso. 


la petición. La misión de estos proxies normalmente consiste en almacenar en caché 
las páginas Web solicitadas por los usuarios a los que da servicio, con el fin de 
acelerar la navegación y centralizar las tareas de seguridad y control de contenidos. 
Ejemplo de estos proxies son los implantados a gran escala por Telefónica para sus 
usuarios de ADSL. 

Anónimos: Estos proxies sí son anónimos en el sentido de que no reexpiden al servi- 
dor Web la dirección IP del equipo detrás del proxy, pero sí que revelan que se trata 
de un proxy. Por tanto, el sitio Web sabe que la petición se realizó a través de un 
proxy, aunque no puede saber la dirección IP del cliente. 

Distorsionadores: En este caso, el proxy altera la dirección IP del cliente sustituyén- 
dola por una aleatoria. Por tanto, el servidor Web sabe que la petición se realizó a 
través de un proxy, pero registrará erróneamente la dirección IP del cliente. 
Altamente anónimos: Estos proxies ni envían la dirección IP del cliente ni informan 
al servidor Web de que la petición proviene de un proxy. Por consiguiente, el servidor 
Web creerá a todos los efectos que la petición procede de un cliente legítimo, 
proporcionándose así el máximo nivel de anonimato. 


Antes de finalizar esta sección sobre los proxies HTTP, se ofrecen unas notas de cautela. 
En primer lugar, se debe ser consciente de que utilizar los proxies que son detectados por 
estos programas puede ser ilegal en la mayoría de los casos. Buena parte de los proxies 
listados en los sitios Web mencionados, así como los encontrados por los programas de la 
Tabla 2.2, corresponden a proxies que se encuentran abiertos al público debido a un error de 
configuración de sus administradores. Por el contrario, puede argüirse que puesto que se 
trata de un servidor colocado públicamente en Internet, acceder a él no constituye ningún 
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delito (siempre y cuando no se intente traspasar el acceso proporcionado por defecto), del 
mismo modo que no es delito visitar una página Web de un servidor públicamente accesible 
en Internet. En segundo lugar, se debe tener en cuenta que el proxy ve y registra la totalidad 
de las sesiones de navegación realizadas a su través. Se sabe de proxies anónimos puestos 
deliberadamente en Internet a modo de cebo por gobiernos para vigilar las andanzas de 
aquellos internautas que buscan el anonimato, bajo la presunción de que pretenden acciones 
ilegales. También se sabe de hackers que los ponen a disposición del público para recoger 
tarjetas de crédito y contraseñas de cuentas de usuario. Por esta razón, nunca se deberían 
utilizar estos servicios para comprar por Internet y/o utilizar servicios que requieran autentl- 
cación de usuario/contraseña. La mejor forma de proteger sus datos confidenciales en com- 
pras, bancos, y cualquier otro sitio Web que requiera autenticación, se basa en el uso de SSL, 
tratado en el Capítulo 3. 


Proxies SOCKS 


Hasta ahora se ha visto cómo para navegar anónimamente se pueden utilizar proxies CGI o 
proxies HTTP. La limitación de los primeros es que sólo funcionan con el navegador, mien- 
tras que los segundos solamente funcionan con programas que utilizan el protocolo HTTP: 
navegadores (Internet Explorer, Netscape, Opera, etc.), gestores de descargas, buscadores, 
capturadores de Webs, etc. Por otro lado, existen otros proxies para otros protocolos, como 
FTP, Gopher, News, etc. Ahora bien, si no dispone de un proxy específico para algún proto- 
colo utilizado por un programa dado, por ejemplo, eMule, mIRC, ICQ, RealPlayer, Outlook 
Express, o cualquier otra herramienta de Internet que se le pueda ocurrir, puede recurrir a 
otro tipo de proxies basados en el protocolo SOCKS. Estos proxies permiten funcionar con 
prácticamente cualquier tipo de protocolo basado en TCP/IP. 

SOCKSv5 es un protocolo de proxy genérico para servicios de red basados en TCP/AP 
independiente de la aplicación particular. SOCKS incluye dos componentes: el servidor, 
implantado en la capa de aplicación, y el cliente, implantado entre las capas de transporte y 
de aplicación. De esta forma, los clientes a un lado del servidor SOCKS pueden acceder a 
servidores al otro lado del servidor SOCKS sin que éstos vean su dirección IP, ya que verán 
la del servidor SOCKS. 

Por consiguiente, el servidor SOCKS puede utilizarse como un proxy genérico para todo 
tipo de aplicaciones, no sólo Web. Muchas aplicaciones, como los modernos navegadores, 
clientes de FTP, algunos programas de intercambio de archivos P2P, algunos clientes de 
chat, etc., soportan el protocolo SOCKS. En todos ellos, puede configurarse el acceso a 
través de un servidor SOCKS y de esta forma se conseguirá el anonimato en todas las tran- 
sacciones realizadas con ese programa. (Véase Figura 2.3.) 

Ahora bien, existen multitud de programas que no soportan de manera predeterminada 
el protocolo SOCKS. En estos casos, para poder seguir disfrutando de las ventajas de SOCKS, 
lo que necesita es utilizar una pasarela SOCKS. SocksCap es un software para todas las 
versiones de Windows que permite que un cliente de cualquier aplicación Internet acceda al 
servidor de la aplicación correspondiente a través de un servidor SOCKS. Se puede descar- 
gar desde www.socks.permeo.com y una vez instalado se configura sencillamente introdu- 
ciendo la dirección del servidor SOCKS y añadiendo los programas que se quiere que funcionen 
a través del mismo. Para ejecutarlos sobre SOCKS, haga doble clic sobre el programa desde 
la ventana de SocksCap. (Véase Figura 2.4.) 

Para aumentar la seguridad de las sesiones con SOCKS, se pueden encadenar varios 
proxies. De esta forma, cuanto mayor sea el número de proxies de la cadena, se vuelve tanto 
más difícil rastrear la dirección IP del equipo origen. Necesitará para ello el concurso de 
algún programa especial, como por ejemplo SocksChain, que puede descargarse desde 
www.ufasoft.com/socks. 
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Figura 2.3. Configuración de SOCKS en mIRC. Muchos otros programas soportan ya el 
protocolo SOCKS. 
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Figura 2.4. Utilización de SocksCap. 


56 Seguridad informática para empresas y particulares 


Comparación de los diversos tipos de proxy 


En la Tabla 2.3 se ofrece una comparativa de los diferentes métodos existentes para proteger 
el anonimato en Internet, no sólo durante la navegación. 

Existen empresas que comercializan servicios de acceso anónimo a Internet. Su forma de 
funcionamiento consiste en poner a disposición de sus clientes una serie de servidores proxy 
de todos los tipos (CGI, HTTP y SOCKS). En algunos casos se requiere la instalación de 
alguna herramienta especial en los equipos clientes, mientras que en otros sólo basta con 
configurar adecuadamente el navegador y otros programas de uso de Internet. En la Ta- 
bla 2.4 se listan varios de estos servicios de pago para proteger el anonimato. No se limitan 
a ocultar la dirección IP del cliente, sino que ofrecen servicios de valor añadido como blo- 
queo de contenido malicioso y protección frente a hackers. 

Además de la búsqueda del anonimato, otro uso frecuente de los proxies consiste en 
burlar cortafuegos. Existen programas como HTTPort (www.htthost.com), HTTPTunnel 
(www.nocrew.org/software/httptunnel.html), HTTP-Tunnel (www.http-tunnel.com), o 
Socks2HTTP (www.totalrc.net/s2h) que permiten saltarse la protección de un cortafuegos o 
proxy de filtrado de contenidos. Funcionan transformando las peticiones de cualquier proto- 
colo en peticiones HTTP, que no son filtradas por el cortafuegos y recodificando las respues- 
tas. De esta manera, se puede utilizar cualquier programa de chat, de descarga de archivos 
multimedia, mensajería, etc., a pesar de estar prohibidos por las reglas del cortafuegos. En el 
Capítulo 4 se explica en detalle qué son y cómo configurar los cortafuegos. 


Tabla 2.3. Comparación entre los diversos métodos de anonimato. 

Proxy Ventajas Inconvenientes 

CGI No requieren cambios en la Incluyen publicidad o cabeceras 
configuración del navegador ni de la compañía que ofrece el servicio. 
instalación de software Sólo sirven para navegar, no para otros 
adicional. servicios de Internet. 
Resulta muy sencillo 
encadenar varios proxies. 
Funcionan con sistemas 
proxy-caché corporativos. 
Incorporan características 
de protección adicionales 
específicas para contenidos Web. 

HTTP Funcionan con el navegador Requieren cambiar la configuración 
y otros programas que soportan del navegador o del programa 
su uso, pero limitándose en cuestión. 
al protocolo HTTP. 

SOCKS Funcionan con cualquier tipo Requieren cambiar la configuración 
de protocolo TCP/IP. del navegador. 


Requieren software adicional para 
otros programas que no soporten 
SOCKS. 

Sólo funcionan si el proxy corporativo 
soporta SOCKS. 
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Tabla 2.4. Servicios de protección del anonimato. 


Nombre URL Descripción 


¡Privacy WWW. Iprivacy.com Se utiliza un proxy (1¡Privacy Identity 
Protection Server) para la navegación. 
El mismo servidor crea cuentas de correo 
anónimas bajo demanda para los usuarios 
cuando las necesitan. 
Private WWW.anonymizer.com Se utiliza una batería de proxies en lo que 
Surfing denominan Network Chameleon 
Technology para proteger el tráfico de sus 
afiliados. Además añaden protección 
contra contenido malicioso y bloqueo 
de publicidad. 
No requiere instalación de software en el 
cliente, sino que es un servicio 
de suscripción. 


Freedom www.freedom.net Utiliza un servidor proxy para ocultar la 

WebSecure dirección IP y bloquear contenido malicioso 
y publicidad. 

Ultimate www.ultimate-anonymity.com No se ofrece ninguna información acerca 

Anonymity de cómo funcionan sus servicios. 


Correo electrónico anónimo 


Paradójicamente, el correo electrónico es uno de los servicios de Internet más ampliamente 
utilizados y a la vez más inseguros: 


Los mensajes de correo electrónico por defecto viajan en claro, es decir, que pueden 
ser leídos por cualquiera. 


Â De manera predeterminada no incorporan ningún mecanismo de integridad, por lo 

que pueden ser fácilmente manipulados. 
Por defecto, carecen de firma, por lo que puede falsificarse el remitente sin difi- 
cultad. 

S No son anónimos, porque incluyen la dirección IP del equipo que se utilizó para 
escribirlos. 


¿Un panorama inquietante? No se alarme. Los tres primeros aspectos, a saber, 
confidencialidad, integridad y repudio, serán tratados en profundidad en el siguiente capítu- 
lo. El último aspecto, el anonimato, se estudiará a continuación. En las siguientes páginas se 
explicará cómo para aumentar el anonimato en los correos enviados se puede recurrir a dos 
técnicas diferentes: los servicios de correo Web y los repetidores de correo anónimos. 


Servicios de correo Web 


La forma más sencilla de enviar correo anónimamente consiste en contratar una cuenta de 
correo Web con servicios como Yahoo! o Hotmail. La oferta de correo Web es prácticamente 
ilimitada, por lo que no tiene problema en cuanto a dónde acudir. Obviamente, los datos de 
la cuenta que contrate deberán ser falsos. 
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Eso sí, no vaya a creer que los mensajes enviados a través de cuentas de correo Web son 
totalmente anónimos, ya que al destinatario le llegará la dirección IP que utilizó para conec- 
tarse al servidor de correo Web, dato que podría utilizarse para rastrearle. Entre todas las 
cabeceras del mensaje, existe una llamada Received que registra todas las direcciones IP de 
los servidores por los que ha ido pasando el mensaje. La última cabecera Received debería 
contener la dirección IP del cliente que se conectó al servicio Web de correo electrónico. A 
veces esta última cabecera Received está vacía o no recoge la IP del cliente. En ese caso, 
suelen existir otras cabeceras no estándar, como XA-Originating-IP o X-Sender-Ip, que inclu- 
yen la verdadera dirección IP de origen. En el siguiente listado de cabeceras de un mensaje 
recibido desde Hotmail se han resaltado en negrita la cabecera Received y la cabecera 
X-Originating-IP, que delatan la dirección IP del equipo desde el que se envió el correo: 
81.11.100.100. 


Return-path: <juanehotmail.com> 
Received: from hotmail.com (unverified [207.68.163.76]) by frodo.tic.es 
(Rockliffe SMTPRA 4.5.4) with ESMTP 1d <B0000647682€8 frodo.tic.es> for 
<gonzalo@iec.csic.es>; 
O o E E O 
Received: from mail pickup service by hotmail.com with Microsoft SMTPSVC; 
Thu, 9 Sep 2004 01:28:01 -0700 
Received: from 81.11.100.100 by sealfd.seal.hotmail.msn.com with HTTP; 
Thu, 09 Sep 2004 08:28:01 GMT 
X-Originating-1P: [81.11.100.100] 
From: “Juan Perro” <juantehotmail.com> 
To: gonzaloujec.csic.es 
BEC 
Subject: Trending host 
Date: Thu, 09 Sep 2004 10:28:01 +0200 
Mime-Version: 1.0 
Content-Type: text/html; charset=iso-8859-1 
Message-ID: <F/6boFcqavUD5FodWwqU500002d8e@hotmai l .com> 
X-OriginalArrivalTime: 09 Sep 2004 08:28:01.0937 (UTC) FILETIME=[CFBA3810:01C257DA] 


Para evitar dejar constancia de su IP, puede hacer dos cosas: o bien utilizar un proxy 
anónimo como los descritos en la sección anterior para conectarse a su correo Web, o bien 
utilizar un repetidor de correo anónimo, como pasa a explicarse en la siguiente sección. 


Repetidores de correo anónimos 


Otra forma de enviar correos sin rastro de su dirección IP consiste en utilizar un servicio de 
envío anónimo de correos, conocido como remailer o repetidor de correo anónimo. Un repe- 
tidor de correo anónimo puede ser una compañía, organización o entidad privada que posee 
cuentas de correo electrónico configuradas de forma tal que reciben correos de terceros, les 
eliminan las cabeceras y nombres originales y los reenvían al destinatario original del men- 
saje después de un intervalo aleatorio de tiempo y de haberlos mezclado con otros mensajes, 
de manera que se vuelva imposible analizar el tráfico. En definitiva, es equivalente a enviar 
correo postal sin escribir el remite: el correo llega, pero nadie sabe quién lo envió ni pueden 
devolverlo. 
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Una técnica comúnmente empleada por spammers consiste en localizar estafetas (servi- 
dores SMTP) que reenvían correos recibidos desde cualquier dominio en lugar de limitarse a 
reexpedir los correos recibidos desde el dominio local. Un servidor SMTP mal configurado 
puede por tanto ser utilizado como remailer y de hecho son blanco de spammers en todo el 
mundo. Resulta fundamental que configure bien sus servidores para no sucumbir a este tipo 
de ataques. En esta sección, por supuesto se recomienda el uso de remailers legales, delibe- 
radamente disponibles para sus usuarios. En la sección “Protección de servidores” del Capítu- 
lo 5 se ofrecen consejos para proteger el servidor de correo. (Véanse Tabla 2.5 y Figura 2.5.) 


Tabla 2.5. Servidores de correo anónimo. 


Nombre URL Tipo 
HushMail www.hushmail.com Gratuito/Pago 
MixMaster www. gllc.org/speech/anonymous/remailer.html Gratuito 
(Vnonymouse anonymouse.ws/anonemail.html Gratuito 
SecureNym WWwWw.securenym.net Pago 
Advicebox www.advicebox.com Pago 
QuickSilver www.quicksilvermail.net Gratuito 
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Figura 2.5. HushMail es un repetidor de correo anónimo que además cifra la información 
del mensaje. 
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Protección frente al spyware y programas espía 


Los programas gratuitos son muy frecuentes en Internet. ¿Nunca se ha preguntado por qué 
contra toda lógica una empresa decide ofrecer software gratis? ¿Qué obtiene a cambio? La 
respuesta es simple y aterradora a la vez: sus datos personales. 

El pagar con su privacidad a cambio de obtener un programa en apariencia gratuito se 
está convirtiendo en moneda de cambio común en Internet. Con eso de que cada vez más 
usuarios tienen su ordenador conectado a la Red, incluso de forma permanente gracias a 
tarifas planas de cable y ADSL, muchas compañías optan por distribuir sus productos de 
forma totalmente gratuita y cobrarse el servicio espiando la actividad del usuario. A interva- 
los de tiempo programables, el programa se conecta a través de Internet con un servidor de la 
compañía que lo distribuyó y transmite diligentemente toda la información que ha recopilado. 

Mientras algunas compañías avisan acerca de su intención de recopilar información so- 
bre hábitos de navegación del usuario en la letra pequeña de sus licencias de uso, ese texto 
que nadie lee cuando instala los programas, otras obvian toda referencia clara a su actividad 
espía. Obtener datos privados sobre los usuarios sin pedir su consentimiento y, lo que es peor, 
sin ni siquiera informarles sobre ello, representa un grave atentado contra la privacidad que 
se está volviendo cada vez más frecuente en Internet. Según declaraciones de AT&T en el 
Internet Global Congress 2004, siete de cada diez ordenadores están infectados por algún 
programa espía que se dedica a observar las acciones del usuario e informar a terceras perso- 
nas. Siguiendo con las estadísticas, un estudio realizado entre el 1 de enero y el 31 de marzo de 
2004 por Earthlink (www.earthlink.net/spyaudit), uno de los principales ISP de EE.UU., reve- 
ló que cada ordenador analizado poseía de promedio nada menos que 28 programas espía. 

La próxima vez que descargue un programa sin que le cobren por ello, piense que a lo 
mejor no es tan gratuito como se anuncia en la publicidad. Sus datos personales pueden 
suponer el precio que pagará por él. Para ayudarle en la lucha contra el spyware, en esta 
sección se explica su origen, se presentan los menos conocidos pero no por ello menos 
intrusivos Web Bugs y se reseñan varias herramientas gratuitas para la prevención y elimi- 
nación de programas espías. 


Origen del spyware 


Uno de los primeros casos de software supuestamente espía que saltaron a los titulares de 
prensa en todo el mundo allá por el año 2000 fue el polémico programa de la compañía 
Aureate, hoy rebautizada como Radiate. Funcionaba en conjunción con aplicaciones gratul- 
tas tan populares como GetRight, NetVampire, CuteFTP o Go!zilla, las cuales incluían pu- 
blicidad para financiarse. Esta forma de distribución de software se engloba dentro de la 
categoría del adware: el usuario no paga por usar el programa, pero debe soportar la presen- 
cia de banners. Así pues, con la excusa de que necesitaban conectarse a un servidor central 
para descargar los banners que se le presentarían al usuario, establecían conexiones sin 
despertar mayores sospechas. Lo que no imaginaba el usuario era que el programa no sólo 
descargaba banners, sino que también enviaba de vuelta a Aureate información de su activ1- 
dad en Internet. 

Otros programas similares a Aureate/Radiate que a día de hoy puede encontrar en su 
ordenador son Altnet, Webhancer, nCase, Customer Companion, Conducent/Timesink, 
Cydoor, Comet Cursor, MyWay o Web3000. Se distribuyen junto con aplicaciones de gran 
popularidad y uso muy extendido hoy día entre los internautas: Audiogalaxy, Babylon Tool, 
Copernic 2000, CrushPop, Cute MX, EZForms, Gator, FlashGet, Gif Animator, ¡Mesh, JPEG 
Optimizer, Kazaa, MP3 Downloader, MP3 Fiend, NeoPlanet Browser, Net Scan 2000, Net 
Tools 2001, NetMonitor, Odigo Messenger, Opera Freeware, Oligo Browser, Real Audioplayer, 
Spam Buster, TIFNY, TypeltIn, WebCoptier, ZipZilla, etc. 
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Si le entra la duda y quiere saber si un software concreto esconde o no programas que 
recopilan su información, consulte las bases de datos de sitios como Spyware-Guide.com 
(www.spywareguide.com) o Spybot Search Destroy (www.safer-networking.org). Estas ba- 
ses de datos, aunque extensas, no son exhaustivas, por lo que si un programa no se encuentra 
listado en ellas no significa necesariamente que no sea spyware. Sin embargo, el recíproco 
suele ser cierto: si está listado, puede tener la seguridad de que lo es. 


Web bugs 


Un Web bug o escucha Web (en alusión a esos pequeños micrófonos, llamados “bugs” en 
inglés, para pinchar líneas telefónicas) es un gráfico GIF transparente dentro de una página 
Web o dentro de un correo electrónico del mismo color del fondo y con un tamaño típicamen- 
te de 1x1 píxeles. Estas características los convierten en invisibles en la práctica. Normal- 
mente, al igual que ocurre con las cookies, son puestos ahí por terceras partes para recopilar 
información acerca de los lectores de esas páginas. 

La información que recaban las agencias publicitarias sobre el visitante gracias a esta 
imagen incluye la dirección IP de su ordenador, el URL de la página en la que está insertada 
la imagen, el URL de la imagen, que contiene codificados los datos que serán enviados desde 
la página Web visitada al sitio recolector de información, la fecha y hora en que fue vista la 
imagen, el tipo y versión de navegador que utilizó el internauta, su sistema operativo, idio- 
ma, e incluso valores de cookies si es que no están deshabilitadas. 

El mayor usuario mundial de escuchas Web es Doubleclick.net, seguido por Akamai.net, 
LinkExchange.com, Bfast.com y Demon.co.uk. Entre los sitios Web que los incluyen apare- 
cen algunos tan conocidos y visitados a nivel mundial como Netscape.com, GoTo.com, 
HitBox.com y Weather.com. 

Uno de los aspectos más oscuros de las escuchas Web es su capacidad de compartir infor- 
mación entre distintos sitios Web. Es sabido que existen muchos sitios que a través de formu- 
larios Web recogen datos como nombre, apellidos, dirección de correo electrónico, ingresos, 
gustos, inclinaciones políticas, sexuales o religiosas, etc. Lo que resulta menos conocido es 
que en el URL de la pequeña imagen podría almacenarse parametrizada toda o parte de esta 
información llegado el caso. Por ejemplo, considérese la siguiente imagen insertada dentro 
de una página Web en CoverGirl.com: 


<IMG WIDTH="1" HEIGHT="1" SRC="http://media.preferences.com/ 
ping-ME SD=CoverGir DN Covertinl A RUNOT ite Any ado a C 0552F 0S: 
15655&event=HomePage&group=HomePage&time=1999.08.24.16.49.20"> 


Puede observarse que el tamaño de la imagen es de 1x1 píxeles para pasar inadvertida. 
Asimismo, en lugar de utilizar como origen de la imagen un archivo .gif convencional, se 
conecta con el servidor media.preferences.com y se le envía a la página llamada ping una 
serie de parámetros: ML_SD, db_afcr, event, group y time, cada uno con su argumento. 

Dado que la imagen es invisible, el confiado usuario no sospecha que el sitio Web donde 
ha entregado estos datos incluye en sus páginas un GIF transparente que se carga desde otro 
sitio Web de terceras partes. 

Cuando su navegador está cargando la página, al llegar al dichoso GIF, se encuentra con 
que el GIF no está albergado en el mismo servidor sino en otro, al que religiosamente envía 
la petición de descarga. Pero en el URL de la imagen se han añadido datos estadísticos, que 
pasarán a ser conocidos por las terceras partes. Todo ello de forma silenciosa y sin que el 
usuario se percate de nada. 
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Por supuesto, el que la información que se pase al sitio publicitario sea más o menos 
confidencial dependerá de los sitios Web en concreto. No se puede generalizar y afirmar que 
todos los Web bugs son inocuos o que todos son perniciosos. La mayoría se limita a enviar 
datos que ayudan a confeccionar estadísticas de uso y a afinar las campañas publicitarias. 
Sin embargo, queda abierta la puerta para otros usos más Intrusivos. 

A diferencia de los banners, que normalmente realizan estas mismas funciones a la luz 
del día, las escuchas Web actúan desde la sombra. Todo el mundo es consciente de la presen- 
cia, a menudo molesta, de los banners. Pero nadie puede advertir la existencia de una escu- 
cha Web a no ser que se dedique a examinar el código fuente en HTML de cada página Web 
que visita. O pueden utilizarse programas especialmente pensados para detectar y eliminar 
estas incómodas escuchas Web, como Bugnosis, que puede descargarse gratuitamente desde 
WWW.bugnosis.org. 

Otro uso igualmente atrevido y molesto se presenta cuando se insertan dentro de mensa- 
jes de correo electrónico enviados en formato HTML. Normalmente, todos los clientes de 
correo actuales, incluidos Eudora, Outlook Express y Netscape, son capaces de presentar 
mensajes en formato HTML como si fueran páginas Web. Gracias a las escuchas Web pre- 
sentes en los mensajes, el sitio que los envió puede saber cuánta gente los leyó, con qué 
frecuencia y si los reenviaron a alguien. 

Considere un Web bug como el siguiente, que apareció insertado en un correo basura o 
spam recibido por Richard Smith, de Privacy Foundation (www.privacyfoundation.org): 


<img width="1' height="1" src="http://ww.m0.net/m/ 
logopen02.asp?vid=34catid=37/01530374%ema11=SMITHS%40tiac.net” alt=”> 


Puede apreciarse cómo nuevamente el tamaño diminuto de la imagen hace que resulte 
inapreciable. En este caso, para descargar la imagen el cliente de correo se conecta al servi- 
dor www.m0.net, al que le envía una serie de parámetros, vid, catid y email, con sus respec- 
tivos argumentos. El último de ellos incluye nada menos que la dirección de correo de Richard 
Smith, SMITHS%40tiac.net, donde %40 representa la (1. Es decir, el argumento de email es 
smiths(0tiac.net. Evidentemente, el spammer conoce esta dirección puesto que le ha enviado 
un correo basura. Pero el hecho de incluirla de nuevo como argumento de entrada a la llama- 
da a la página “logopen02.asp” permite que Digital Impact, la compañía de marketing direc- 
to online implicada, pueda saber que Richard Smith abrió el correo. 

En otras palabras, Richard Smith se interesó por el mensaje y lo abrió. Como consecuen- 
cia, Digital Impact ha obtenido dos valiosos datos: el primero, que la dirección de correo 
smiths(dtiac.net es correcta y está activa; el segundo, que el sujeto demuestra un interés por 
el tema tratado en el correo basura que se le envió. Gracias a esta información recabada por 
la escucha Web, Digital Impact puede evaluar con gran exactitud el éxito de su campaña 
publicitaria por correo. Mantendrá a Richard Smith en su lista de buzoneo, mientras que 
eliminará a aquellos que no abrieron su mensaje, con lo que la lista final se revalorizará 
considerablemente en futuras campañas. ¿Y qué hay de Richard Smith? ¿Alguien le pregun- 
tó si estaba interesado en que se supiera que abrió el correo? ¡Seguro que no! 

La utilidad de los Web bugs dentro de los mensajes de correo electrónico es sorprendente. 
No sólo permiten saber si el destinatario del correo leyó el mensaje. En la medida en que el 
usuario realiza sin saberlo una petición HTTP al servidor de la compañía publicitaria, en sus 
archivos de registro (logs) queda constancia también de la fecha y hora y de la dirección IP 
del usuario. Se puede llegar así a vincular la dirección IP, dato en muchos casos personal- 
mente identificable, con la dirección de correo, algo que la empresa de marketing no puede 
lograr de otra forma sin recibir antes un mensaje del usuario. Gracias a esta vinculación, sl 
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más adelante el usuario visita su Web o la de un sitio afiliado a su programa de marketing, 
podrá reconocerle por su dirección IP (siempre y cuando ésta no sea dinámica). 

El Web bug dentro del correo incluso permite sincronizar las cookies de un navegador 
con una dirección de correo. Como ya se sabe, las cookies permiten una identificación más 
exacta de los visitantes que una dirección IP. Por tanto, si se le envía una cookie al usuario 
cuando abre el mensaje como consecuencia de la petición que hace para descargar la escucha 
Web, en futuras visitas que haga a sitios del anunciante será fácil identificarle por la cookie 
y vincularle con la dirección de correo, aunque use una dirección IP flotante. 


ves Elarchivo HOSTS, presente en Windows y otros sistemas operativos, tiene por función almacenar una 


tabla estática con las correspondencias entre nombres de Internet y direcciones IP Cada vez que 
cualquier programa, no sólo su navegador, hace uso de Internet, se comprueba si la dirección simbó- 
lica introducida está listada en el archivo HOSTS. En caso afirmativo, extrae su dirección IP correspon- 
diente y se conecta directamente a la máquina solicitada. En caso negativo, necesita consultar con un 
servidor de nombres de dominio (DNS) para traducir la dirección simbólica a numérica. 

Este archivo suele estar presente en el directorio de instalación de Windows, normalmente 
C.lWindows|system32ldriversletc. Puede editarlo con el bloc de notas y añadir tantas direcciones 
como desee. 

Si vincula la dirección simbólica de un sitio Web de un anunciante con la dirección IP 127.0.0.1 
conseguirá que su ordenador no pueda conectarse a ella. En otras palabras, la bloqueará completa- 
mente. Por ejemplo: 


127.0.0.1 ads.doubleclick.net 
127.0.0.1 adforce.com 


En www.accs-net.com/hosts/get_hosts.html encontrará un listado exhaustivo de sitios que puede 
añadir a su archivo HOSTS con el fin de bloquear a publicistas. 


¿Tengo spyware en mi ordenador? 


Cuando un ordenador ha sucumbido víctima del spyware, existen una serie de síntomas que 
delatan su existencia: 


DD» DD» D> 


uN 


El ordenador cada vez funciona más lentamente. 

Cuando navega por Internet y a veces incluso sin que haya abierto el navegador, 
aparecen ventanas de Internet Explorer que nadie ha abierto que cargan páginas de 
sitios pornográficos. 

El módem realiza llamadas sin que nadie lo haya activado. 

Cuando introduce una palabra de búsqueda en la barra de Dirección del navegador o 
la dirección de un sitio Web que no existe, un sitio Web extraño se encarga de la 
búsqueda. 

Sus Favoritos almacenan sitios que nadie puso ahí. 

La página de inicio del navegador apunta a un sitio desconocido, a menudo porno- 
gráfico. No importa cuántas veces intente cambiarla, cuando inicia Internet Explorer 
vuelve a apuntar al mismo sitio desconocido. 

Aparecen ventanas de pop-up en su navegador, incluso cuando no está conectado a 
Internet. 


Si en su ordenador reconoce alguno de los síntomas anteriores, casi con total seguridad el 
spyware se ha instalado ya. En ese caso, no tiene más remedio que utilizar alguna de las 


64 Seguridad informática para empresas y particulares 


herramientas descritas en la siguiente sección para eliminarlo. No vaya a creer que el spyware 
se instala solo. Siempre es el usuario el último responsable. Normalmente, el spyware proce- 
de de sitios pornográficos gratuitos, sitios de descarga de cracks y programas piratas (justi- 
cia poética lo llaman algunos autores), sitios de descarga de canciones piratas en MP3 y la 
mayor parte del software P2P de intercambio de archivos. Si se mantiene alejado de dichos 
sitios y no utiliza programas P2P, puede decir adiós al spyware. 


Eliminación y prevención del spyware 


Existe una gran variedad de software especializado en combatir el spyware. La mayoría de 
programas de este tipo buscan en el disco duro la presencia de archivos sospechosos: progra- 
mas conocidos por encubrir canales de comunicación, archivos DLL, cookies, claves del 
Registro de Windows, etc. Tras la fase de exploración, muestran al usuario el resultado de los 
descubrimientos realizados en su sistema. Uno de los programas más completos actualmente 
es Ad-Aware, de LavaSoft, además con una versión gratuita. (Véase Figura 2.6.) 

En la Tabla 2.6 se presenta un listado de los programas anti-spyware más populares, 
la mayoría de los cuales son freeware. 

Los programas anteriores eliminan el spyware conocido ya instalado en su ordenador. 
Existen otros programas que adoptan un enfoque preventivo, evitando la instalación de spyware 
conocido. En la Tabla 2.7 se presenta un listado de los programas preventivos anti-spyware 
más populares, la mayoría de los cuales son también freeware. 


Cookies 


De todas las tecnologías utilizadas en Internet, posiblemente una de las peor comprendidas y 
más demonizadas hayan sido las cookies. Concebidas originalmente para permitir la conser- 
vación de información sobre el estado de la navegación de los internautas, pronto se explotó 
su potencial para rastrear las idas y venidas de los navegantes. 


b- 
C6 Ad-aware 6.0 Personal 
ATE AATTONA ETEEN S 


Funcionamiento actual 


Aléxaminar ahora Escaneo Terminado. Objetos Escaneados: 38976 


© Escaneo completo 
Resumen 


25 procesos corriendo 0 Procesos identificados 

32 Objetos reconocidos 11 Llaves del registro identificadas 

0 Objetos ignorados 3 Valores del registro identificados 
E 18 Archivos identificados 

32 Nuevos objetos HE 0 Carpetas identificadas 


32 Articulos. N Show logfile C> Siguiente 


Ad-aware 6 Personal, Build 6.181 








Figura 2.6. Ad-Aware es uno de los programas de eliminación de spyware más 
completos. 
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Tabla 2.6. Herramientas para eliminar el adware y spyware de su ordenador. 


Nombre URL Licencia 
Ad-Aware www.lavasoftusa.com Freeware 
NetCop System Shield  www.net-cop.com Shareware 
Optout grc.com/optout.htm Freeware 
SpyBot S&D security.kolla.de Freeware 
Spychecker www.spychecker.com/spychecker.html Freeware 
SpyRemover WWW.Itcompany.com/remover.htm Shareware 
Spy Sweeper www.Webroot.com/wb/products/spysweeper/ Shareware 
index.php 
Spyware Remover www.bulletproofsoft.com/spyware-remover.html Shareware 
WinPatrol www.b1llp.com Freeware 


Tabla 2.7. Herramientas anti-spyware preventivas. 


Nombre URL Licencia 

Panda Platinum www.pandasoftware.es/productos/platinum_is Shareware 
Internet Security 

SpywareBlaster www.wl1lderssecurity.net/spywareblaster.html Freeware 

SpywareGuard www.wl1lderssecurity.net/spywareguard.html Freeware 

SpyStopper wWww.Itcompany.com/spystop.htm Shareware 


El abuso por parte de los anunciantes condujo al nacimiento y circulación de leyendas 
urbanas sobre los poderes mágicos de las cookies: desde leer el disco duro hasta ejecutar 
comandos en el ordenador del internauta. Dado que siempre resulta más sencillo creer rumo- 
res que investigar sobre su veracidad, pronto se extendió una leyenda negra que impulsó a 
los navegantes a recelar de las cookies. Pero, ¿qué son realmente? 

Para entender la razón de ser de las cookies, antes es imprescindible comprender cómo 
funciona el Protocolo de Transferencia de Hiper Texto de Internet (HyperText Transfer Protocol 
o HTTP), usado para la navegación a través de páginas Web. Cuando usted visita una página 
escribiendo “http://www.servidor.com/documentos/intro.html”, su navegador envía una pe- 
tición al servidor llamado “www.servidor.com” en la que le pide que le devuelva la página 
“intro.html”, que se encuentra en el directorio “documentos”. Si dentro de esa página existe 
un enlace a otra página del mismo servidor y hace clic sobre él, el navegador solicitará la 
nueva página, pero el servidor no tendrá forma de saber si se trata del mismo navegador que 
solicitó la primera página o se trata de otro navegador distinto. Esta limitación se presenta 
debido a que HTTP es un protocolo sin estado: no permite distinguir si dos peticiones conse- 
cutivas provienen del mismo usuario o de dos usuarios distintos. 

Con el fin de salvar este escollo, se crearon las cookies. Cuando un usuario pide por 
primera vez una página al servidor, éste manda una cookie a su navegador con un identificador 
único. El navegador la almacena en el disco duro y si más tarde, no importa si diez segundos 
o diez días después, decide pedir otra página al mismo servidor, el navegador le devuelve la 
cookie junto con la nueva petición de página, de manera que el servidor pueda reconocerle 
como el visitante anterior. 
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En las siguientes páginas se ofrece una descripción algo más técnica de las cookies, se 
explica cuáles son los riesgos que plantean y se ofrecen numerosos consejos y técnicas para 
limitar su incidencia. 


Descripción de las cookies 


El protocolo HTTP se sirve de dos cabeceras para escribir/leer las cookies: 


Set-Cookie: Utilizada por el servidor para indicarle al navegador los contenidos de la 
cookie que debe almacenar en su memoria o disco duro. 

§ Cookie: Utilizada por el navegador en cada petición HTTP que realice al servidor, 
siempre y cuando posea alguna cookie procedente de ese mismo servidor. 


A continuación se muestra la respuesta de un servidor Web en la que solicita la escritura 
de una cookie en el disco duro del usuario: 


A AOS 

Server: Microsoft-11S/5.0 

Date Sat lS Feb 2003 17 58-26 GMT 

Content-Length: 1959 

Content-Type: text/html 

Set-Cookie: ASPSESSIONIDGQGQGMIG=PHFLKMLBCEDAAOMDDEPOLBKN; path=/ 
Cache-control: private 


<HTML> 


Y ahora una petición del navegador, acompañada de las cookies que ha recibido previa- 
mente de dicho servidor: 


CEN derali a O AP A 

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, / 
Referer: http://www.instisec.com/tienda/publico/pagar.asp 
Accept-Language: es-mx 

Content-Type: application/x-www-form-urlencoded 
Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) 
Host: www.1ec.cs1C.es 

Content-Length: 200 

Connection: Keep-Alive 

Cookie: ASPSESSIONIDGOGQGMIG=PHFLKMLBCEDAAOMDDEPOLEBKN 


Debe quedar claro que una cookie no es más que un archivo de texto ASCII que el navegador 
del usuario almacena en el disco duro. Por tanto, no hay que alarmarse, ya que el servidor no 
puede leer el contenido del disco ni tener acceso al sistema. El servidor envía en la cookie 
cierta información, solicitando al navegador que la escriba en el archivo de texto. Por tanto, 
es el navegador, no el servidor, quien escribe y lee en el disco duro. 
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Como todos los usuarios de informática bien saben, un archivo de texto contiene sola- 
mente caracteres ASCII y por tanto no puede ejecutar comandos ni nada parecido. Las cookies 
no pueden espiar silenciosamente al usuario para enviar luego la información supuestamente 
recabada porque ¡son nada más que archivos de texto! A continuación se muestra el conteni- 
do de una cookie enviada por Google: 


PREF 
1D=61283e445347f42c : TIM=1049806392 : LM=1049806392 : S=HQE1H7PNbbWc8VeP 
google.com/ 

1056 

2618878336 

32111634 

aros TOS 

29522192 


* 


Riesgos de las cookies 


Las cookies pueden llegar a representar dos amenazas diferentes para los internautas que 
navegan por la Red: 


Pérdida de la confidencialidad de los datos privados. 
S  Merma del anonimato en la navegación por Internet. 


Amenazas de las cookies a la confidencialidad 


Como ha quedado dicho, las cookies almacenan la información que el servidor ha pedido 
que guarden. Si el servidor posee algún dato confidencial del usuario, será porque el usuario 
se lo ha entregado antes, desde luego que no porque lo haya robado la cookie. Otra cuestión 
diferente es si el servidor pide guardar o no en la cookie datos sensibles, como contraseñas o 
números de tarjeta de crédito. Desde luego, esta solución constituye una mala práctica de 
diseño y lo cierto es que no se encuentra prácticamente nunca, pero, entiéndase bien, en 
cualquier caso las cookies no son responsables por sí. Se limitan a almacenar lo que el 
servidor indique. Conviene que examine las cookies que recibe de los servidores (más ade- 
lante se explica cómo) y rechace o borre aquellas que almacenen datos personales en claro. 
Existen numerosos agujeros de seguridad en los navegadores, especialmente en Internet 
Explorer, que permiten a un sitio Web malicioso robar las cookies de un usuario junto con 
toda la información que almacenen. 


Amenazas de las cookies al anonimato 


Por tanto, las cookies no son más que unos pequeños archivos de humilde texto que permiten 
saber a un servidor Web si el usuario que le visita es el mismo que ya se pasó anteriormente. 
Cuantos más datos personales le revele al servidor, mejor podrá identificarle éste. Pasará de 
ser un número en una cookie a un internauta con nombres y apellidos. Y entonces sí, el 
anonimato desaparece. Cualquier sitio Web puede enviar dentro de las cabeceras HTTP una 
cookie junto con una página Web o una imagen o un documento. Se llama cookie de prime- 
ras partes a la que se recibe de o se envía al sitio Web que está visitando o cualquier sitio en 
su mismo dominio. Por ejemplo, imagine que está visitando el sito www.neurocrypt.com. 
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Si este sitio le envía una cookie, o la envía cualquier otro sitio en el mismo dominio, como 
articulos.neurocrypt.com o herramientas.neurocrypt.com, entonces la cookie se considera 
como de primeras partes. 

Ahora bien, es muy frecuente que un sitio Web inserte banners, fotos, applets de Java, 
películas o algún otro elemento procedente de otro sitio Web. Para el usuario todo está inte- 
grado sin costuras en la misma página, mientras que en realidad cada elemento ha podido 
ser cargado desde un sitio Web diferente. Si alguno de estos sitios Web que sirven elementos 
aislados, dentro de la página que está visitando, añaden además una cookie, entonces ésta se 
considerará como de terceras partes. 

Por último, se llama inapropiada a la cookie que puede permitir el acceso a información 
de identificación personal que se podría usar para otros fines sin el consentimiento del 
internauta. 


Protección contra las cookies 


S1 quiere que el navegador le mantenga informado siempre que un sitio Web le solicita que 
guarde una cookie, puede configurarlo para que le pida confirmación cada vez. 


Seleccione Herramientas>Opciones de Internet>Privacidad. 

Pulse el botón Opciones avanzadas. 

Verifique la casilla Sobrescribir la administración automática de cookies. 

Tanto en Cookies de origen como en Cookies de terceros seleccione la opción 
Pedir datos. 

5. Pulse Aceptar dos veces. 


Poor 


En adelante, cada vez que un sitio Web le envíe una cookie, saltará una alerta como la de 
la Figura 2.7, informándole de todos los datos de la cookie. Debe tenerse en cuenta que esta 
ventana aparecerá docenas de veces cada vez que se inicia una sesión de navegación. Debido 
a la incomodidad que representa el tener que aceptar/rechazar cookies a cada paso, muy 
pocos usuarios dejan activada esta posibilidad. 

Si por el contrario prefiere bloquear todas las cookies, tenga en cuenta que habrá sitios 
como Hotmail que no funcionen adecuadamente. En estos casos, normalmente se le adverti- 
rá de ello en una página informativa y podrá modificar la configuración para ese sitio en 
concreto. 


1. Seleccione Herramientas>Opciones de Internet>Privacidad. 

2. Arrastre el deslizador hacia arriba, hasta la posición máxima, correspondiente a 
Bloquear todas las cookies. 

3. Pulse Aceptar. 


Si lo desea, puede borrar las cookies que ya se hallan almacenadas en su disco duro 
vaciando el contenido del directorio donde se encuentran. Internet Explorer almacena las 
cookies que recibe en la carpeta C:\Documents and Settings\<usuario>\Cookies. Asegúrese 
siempre de realizar esta operación con todas las ventanas del navegador cerradas. 


nW Para acceder rápidamente a la carpeta de cookies en Windows XP seleccione Inicio>Ejecutar, escri- 
ba “cookies” y pulse el botón Aceptar. La carpeta se abrirá automáticamente. 


Por desgracia, libre de cookies no significa libre de problemas. Algunos sitios no funcio- 
narán correctamente o no funcionarán en absoluto. Por este motivo, en muchas ocasiones 
no conviene bloquearlas por completo, sino utilizar programas que permitan su filtrado se- 
lectivo. (Véase Figura 2.8.) 
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Alerta de privacidad 


E El sitio eb "serving-=Y3. com” ha pedido que że guarde un archivo 
Sg en su equipo llamado un “cookie.” Este archivo puede ser usado 
para hacer un seguimiento de la información de uso. ¿Desea permitir 


esto? 


|] Aplicar mi decisión a todos los cookies de este sitio W'eb 


Permitir cook le Bloquear cookie Más información Ayuda 


Auta 


Caduca | vie, ene 01 2038 08:00:00 | Segura 


Datos 16338%202%201082027811<207 082020058%<2000%200%5 
1990201 201 0680041114<201080041114<2D00<200% 
5716610201201 0845351562071 0845357 56<200%2010 
2591569/22042201 0758927622201 081 226879220020 


Terceros Sesión 


Directiva |policyref=http:// ww epeblaster. comep3prE peblaster-=erved-p 
compacta |3pz. sml CP="NOI DEWa OUR BUS UNI" 











Figura 2.7. Alerta de privacidad de Internet Explorer avisándole del envío de una cookie. 


B gonzalo@microsoft[1].b4t - WordPad 


Archivo Edición Yer Insertar Formato Ayuda 
DE Sl 4 a! E 
| pca 


GUID=53e7?9c27755dfe40b21dchdcf9d962a0£<H15H=279c£LV=20042 £V=3 
microsoft.com 
1024 
2330023936 
29812409 
2533230448 
29621387 

* 

MSRESEARCH 

1 
microsoft.cora 
10585 
1590556624 
29655106 
1977340704 
29637001 

+ 

cars 

1 
microsoft.com 
1088 
2328817408 
29663002 
27190514585 


229644897 
* 





Para obtener Ayuda, presione F1 





Figura 2.8. Las cookies solamente son texto, como demuestra este archivo de cookies. 
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Internet Explorer 6 permite configurar el tratamiento de las cookies de forma muy prec1- 
sa. Seleccione Herramientas>Opciones de Internet>Privacidad. Comprobará que dispo- 
ne de seis niveles diferentes de privacidad: 


Bloquear todas las cookies, que las bloquea todas sin miramientos, tanto para escri- 
tura como lectura. 

A Alta, que bloquea las cookies de sitios que no utilicen una directiva de privacidad 
P3P legible, así como las cookies de sitios que utilicen su información de identifica- 
ción personal sin su consentimiento explícito (nombres de usuario, contraseñas, etc.). 


Â Media alta, que bloquea las cookies de sitios de terceros que no utilicen una directiva 
P3P legible o que utilicen su información de identificación personal sin su consent1- 
miento explícito, así como de primeros sitios que tampoco le pidan su consentimien- 

to para utilizar esta información. 

A Media, que se comporta igual que la anterior, pero sin bloquear las cookies de prime- 


_ ros sitios, sino solamente borrarlas al terminar la sesión de navegación. 
A Baja, que sólo bloquea las cookies de sitios de terceros. 
8 Aceptar todas las cookies, que permite leer y escribir cualquier cookie en su equipo. 


Por supuesto, se encontrará en la situación en que un nivel demasiado restrictivo no deja 
pasar cookies de algunos sitios Web en los que confía plenamente y que hacen un uso inten- 
sivo de cookies para funcionar. Por otro lado, un nivel demasiado permisivo dejará pasar 
demasiadas cookies, incluidas las de anunciantes que buscan rastrear sus hábitos de navega- 
ción y compra. En estas circunstancias, puede definir un nivel para usar en todos los sitios en 
general y posteriormente decidir a qué sitios Web se les permiten o se les rechazan las cookies, 
sin importar la directiva general de privacidad configurada. 

Para ello, en la ficha Privacidad pulse el botón Editar y escriba la dirección exacta de 
los sitios Web para los que desee configurar el nuevo comportamiento. En función de si desea 
bloquear o permitir las cookies para cada sitio que va añadiendo, pulse el botón correspon- 
diente. (Véase Figura 2.9.) 

Además de este control tan granular de las acciones a realizar con las cookies, Internet 
Explorer también ha incorporado los informes de privacidad, que le permiten ver la directiva 
de privacidad P3P de un sitio Web, averiguar si un sitio Web contiene información propor- 
cionada por un sitio Web de terceros (es decir, un sitio Web distinto del que visita actualmen- 
te) o averiguar si Internet Explorer restringió alguna cookie del sitio Web que visita 
actualmente. 

El Proyecto de la Plataforma para las Preferencias de Privacidad (Platform for Privacy 
Preferences Project o P3P) nació con la vocación de poner coto a los mecanismos de rastreo 
de la actividad de los internautas. 

P3P establece un formato XML estandarizado de codificación de las políticas de privacidad 
de los sitios Web. Este formato puede ser leído y entendido por cualquier agente de usuario 
capacitado para ello. Por agente se entiende cualquier programa cliente, como el navegador 
(tanto Internet Explorer 6 como Netscape 7), el reproductor de medios, el lector de correo 
electrónico y grupos de noticias o diversos plug-ins, los cuales actúan en representación del 
usuario, descargando y procesando las políticas P3P. De forma implícita se acepta que existe 
confianza total del usuario en el agente. 

P3P persigue dos objetivos complementarios: garantizar las expectativas de privacidad 
de los internautas a la vez que se asegura la disponibilidad y productividad de Internet como 
teatro del comercio electrónico. Se trata de un proyecto abierto impulsado por el Consorcio 
de la WWW (World Wide Web Consortium o W3C), que publicó su primera versión del 
estándar, P3P 1.0, en abril de 2002. Puede obtenerse más información sobre P3P en 
wWww.w3.org/P3P. 
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Opciones de Internet 


Conexlonez Programas Opciones avanzadas 
General Seguridad Privacidad Contenido 


Configuración 


E hueva el control deslizante para seleccionar una configuración de privacidad 
=> para la zona Internet. 


: Media 


¿+ Bloquea cookies de terceros que no tiene una directiva de privacidad 
sólida 

Bloquea cookies de terceros que usan información personal de 
¿identificación sin +4 consentimiento explícito 

+ Restringe cookies internas que usan información personal de 
identificación sin su consentimiento explícito 


Importar... Opciones avanzadas... 


Sitios eb 


Fara reemplazar la administración de cookies para sitios 
Web individuales, haga clic en el botón Editar. 





Figura 2.9. La configuración de privacidad de Internet Explorer controla de forma 
selectiva qué criterios se seguirán a la hora de bloquear las cookies. 


Para ver un informe de privacidad del sitio Web que está visitando, seleccione Ver>Informe 
de privacidad. No obstante, hoy por hoy, son muy pocos los sitios que incorporan una direc- 
tiva de privacidad. 

Cuando se producen violaciones de la directiva de privacidad definida por el usuario, 
saltará una alerta que le avisa de que un sitio Web ha intentando enviarle una cookie que no 
está permitida. Si pulsa sobre el icono de la barra de estado, podrá acceder directamente al 
informe de privacidad para ese sitio Web. Cuando se abra la ventana de informe de privacidad, 
pulse el botón Resumen y podrá encontrar la directiva de confidencialidad del sitio Web 
siempre que éste la tenga. También dispone de la posibilidad de bloquear o permitir todas las 
cookies para ese sitio Web, saltándose la configuración de su propia directiva de privacidad 
(Véase Figura 2.10.) 


Borrado de rastros en el ordenador 


El Historial contiene la dirección de todas las páginas que ha visitado en el pasado. Esta 
información permite a cualquier persona con acceso a su ordenador, bien sea físicamente o a 
través de Internet, obtener información detallada de qué sitios visitó y a qué horas. A partir 
de estos datos resulta sencillo elaborar un detallado perfil sobre sus hábitos de navegación, lo 
cual revela mucho acerca de su persona. Y la situación incluso puede agravarse. Este Histo- 
rial almacena el URL completo de las páginas visitadas, es decir, incluyendo todos los 
parámetros de entrada con los valores introducidos por el usuario. En muchos casos, el 
Historial almacena contraseñas, números de tarjetas de crédito y otra información sensible 
similar. 
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ai] 





Resumen de privacidad para: 
Se bloquearon o restringieron algunas cookies de acuerdo con su configuración de 
es O'Reilly ¿Associates 
Mostrar: | Todos los sitios Web ~ EEE ES "e . 
Para leer la directiva de privacidad completa de este sitio Web, haga clic 


Sitios Web con contenido en la página actual: aquí 


Sitio Cookies 
http://www oreilynet.com/pub/a/javascript/200271... Restringida 
http://www. oreillynet.com/ common. js 

http: 44. oreillynet. comestyleskmain.css Este sitio tiene múltiples declaraciones de privacidad: 


http: *2oreillynet. comstyles/main.css o 
http://w oreilynet.com/hbe-11up.js Cul Declaración 1 — Access log information 


http://www oreilynet.com/images/header/tab-netw... 
http://www oreilynet.com/images/header/tab-oreilly... 
htt Awww nreillunet camtimanes ¿trans nif 


Para ver el resumen de privacidad de un sitio, seleccione un D Declaración 3— Ordering Books 
elemento de la lista y haga clic en Resumen. vg a . 
y nag Declaración 4 — Aggregated tracking information 


2 Declaración 5 — Elists and Forums 
¿Cómo se procesarán las cookies de "oreillynet.com" ? 


©) Comparar direct. de confidencialidad de cookies con mi config. 


O) Permitir siempre el uso de cookies en este sitio web. 


Declaración 2 — Cookies 





(O) No permitir nunca el uso de cookies en este sitio web. 





Figura 2.10. Si un sitio Web tiene una directiva de privacidad P3P, Internet Explorer puede 
mostrarla. Internet Explorer también puede comparar su configuración de 
privacidad con una representación de la directiva de privacidad P3P y 
determinar si debe o no permitir al sitio Web guardar cookies en su equipo. 


Por otro lado, el caché de los navegadores también puede presentar problemas de 
privacidad. Siendo su finalidad el permitir una rápida visualización de las páginas, almace- 
na en el disco del usuario las páginas ya vistas, imágenes cargadas, documentos Word o PDF 
leídos, presentaciones en PowerPoint visualizadas, etc. 

Evidentemente, se trata de información que revela mucho acerca de sus gustos y de qué 
ha estado haciendo en Internet, por lo que podría ver vulnerada su privacidad si cae en las 
manos equivocadas. Por tanto, a pesar de su conveniencia para acelerar la navegación, en 
otras muchas situaciones las características del Historial y del caché resultan completamente 
indeseables. 

Por último, la información sensible debe ser destruida una vez que no se necesita por más 
tiempo. Del mismo modo que debe utilizarse una trituradora de papel para destruir docu- 
mentos impresos en papel, el borrado de datos de soportes de almacenamiento magnético 
también debe llevarse a cabo utilizando una “trituradora” magnética. 

En esta sección se tratan los siguientes temas directamente relacionados con la protec- 
ción de la privacidad: 


Eliminación de rastros de la navegación. 
A Eliminación de otros rastros de la actividad informática. 
S Borrado seguro de datos. 


Eliminación de rastros de la navegación 


Si desea renunciar a las ventajas del Historial en beneficio de su privacidad, puede configu- 
rarlo de la siguiente forma. Pulse sobre el botón Historial de la barra de herramientas y verá 
que en la parte izquierda de la ventana se crea un panel donde aparecen listados los URL de 
todos los sitios Web que ha visitado en los últimos días. Para eliminar el Historial: 


1. Seleccione Herramientas>Opciones de Internet>General. 
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2. Ponga el número de días que desea se guarden las páginas a 0 y pulse el botón 
Borrar Historial. 
3. Pulse Aceptar. 


Si no le interesa borrar el Historial completo, sino solamente algunos sitios concretos: 


1. Pulse el botón Historial de la barra de herramientas. 

2. En el marco de la izquierda, donde se han cargado los últimos sitios visitados, pulse 
con el botón secundario del ratón sobre aquel que desee borrar y seleccione Eliminar 
del menú contextual. 

3. Repita la operación anterior para cada sitio que desee borrar. 

4. Cierre el marco de Historial. 


Si desea configurar el caché de su navegador de manera que no almacene ningún conte- 
nido, no olvide que puede notar un descenso notable en la velocidad de navegación, ya que 
en adelante cada elemento de una página Web será recuperado a través de Internet. 


1. Seleccione Herramientas>Opciones de Internet>General. 

2. En la sección Archivos temporales de Internet, pulse el botón Eliminar archivos. 

3. A continuación, pulse el botón Configuración y ponga a 1 (el mínimo permitido) el 
valor destinado al tamaño del caché. 

4. Pulse Aceptar tres veces. 


Una solución menos draconiana consiste en borrar el caché tras cada sesión de navega- 
ción: 


1. Seleccione Herramientas>Opciones de Internet>Opciones avanzadas. 

2. Enel grupo Seguridad, verifique la casilla Vaciar la carpeta Archivos temporales 
de Internet cuando se cierre el explorador. 

3. Pulse Aceptar. 


seo] Haga doble clic sobre el icono con forma de bola del mundo y la leyenda “Internet” a su lado, en la parte 
derecha de la barra de estado de Internet Explorer, y se abrirá automáticamente la ficha de seguridad. 


Los navegadores incorporan también la posibilidad de recordar los campos que se relle- 
nan en un formulario, incluidas las contraseñas. Esta característica, que puede resultar muy 
cómoda para una persona que es la única usuaria de un ordenador, abre un importante 
problema de seguridad cuando son varios los que navegan desde la misma cuenta en el 
ordenador. 

Cuando un usuario visita una página en la que se le pide nombre de usuario y contraseña, 
tras haberlos introducido, el navegador le presentará una ventana en la que se le pregunta si 
desea que Windows recuerde la contraseña para no tener que escribirla la próxima vez que 
visite esa página. En caso afirmativo, quedará almacenada de forma codificada en el Regis- 
tro de Windows. En adelante, cada vez que se acceda a la misma página, la contraseña se 
rellenará automáticamente. 

Para usuarios que se conectan a multitud de servicios de Internet, esta funcionalidad 
adicional puede simplificarles terriblemente la vida, en la medida en que no necesitan recor- 
dar docenas de contraseñas distintas. Sin embargo, si otro usuario navegando desde su mis- 
ma cuenta accediera a esa página, automáticamente recibiría permiso para acceder a ella. El 
programa Protected Storage PassView (members.lycos.co.uk/nirsoftl/utils/pspv.html) per- 
mite ver todas las contraseñas del navegador y también de Outlook Express. 
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En primer lugar, en la ventana que se le presenta debe contestar que no lo desea y verifi- 
car la casilla No volver a ofrecer recordar contraseñas. Si esta funcionalidad ya está acti- 
vada, puede borrar todas las contraseñas y desactivar la característica. 


1. Seleccione Herramientas>Opciones de Internet>Contenido y pulse el botón 
Autocompletar. 

2. Desactive la casilla Nombres de usuario y contraseñas en formularios. 

3. Pulse los botones Borrar formularios y Borrar contraseñas. 

4. Pulse Aceptar dos veces. 


Eliminación de otros rastros de la actividad informática 


No hay que creer que los únicos rastros de la actividad realizada en un ordenador se limitan 
a los generados por la navegación: cookies, Historial, caché. Existen otras muchas acciones 
que dejan rastros: 


Reproducción de música con Windows Media Player: Se almacenan el nombre de 
archivos multimedia reproducidos: las canciones de CD y descargadas de Internet, 
películas en DVD o archivos de streaming. 


Â Documentos abiertos: Los últimos documentos abiertos en el equipo, del tipo que 
sean, se listan en Inicio>Documentos recientes. 
A Programas ejecutados: El nombre de los programas que se hayan ejecutado desde 


Inicio>Ejecutar quedan almacenados en el cuadro de lista de la ventana. 

8 Archivos temporales de Windows: Retazos de la actividad desarrollada en el equipo 
quedan almacenados en la carpeta de archivos temporales, típicamente en 
CAWindows Temp. 


En vez de acometer a mano la tarea de eliminar estos rastros, puede recurrirse a software 
especializado en la eliminación de todo tipo de rastros del ordenador. En la Tabla 2.8 se 
listan algunos programas. 


Borrado seguro de datos 


Además de los rastros anteriores, queda flotando por su disco duro o en la papelera de reciclaje 
una gran cantidad de información: viejos mensajes de correo, cookies, los sitios Web visita- 
dos en el último mes y las fotos vistas en ellos, los últimos documentos con que se ha traba- 
jado, etc. Un libro abierto para cualquiera que quiera leerlo. Por otro lado, existen secretos o 
información confidencial de la empresa que debe ser destruida una vez ha sido utilizada. 


Tabla 2.8. Programas de borrado de rastros generados por el uso diario del ordenador. 


Nombre URL 

MindSoft Evidence Eraser www.mindsoftWeb.com/productos/evidence.htm 
Privacy Guardian www.winguides.com/privacy 

Steganos Internet Trace Destructor  www.steganos.com/?product=1td 

Tracks Eraser Pro www.acesoft.net 

Privacy Inspector www.magictweak.com/privacyi.htm 


NoTrax www.heidi.ie/NoTrax/default.php 
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La información, como tantas otras cosas, tiene su ciclo de vida: se crea, se utiliza, se almace- 
na y finalmente se destruye. En la práctica, para hacer desaparecer la información sensible 
no basta con borrarla enviando el archivo pertinente a la papelera de reciclaje y vaciando 
ésta a continuación. Ni siquiera formatear un disco destruye su anterior contenido. 

Cuando se borra un archivo, aunque se vacíe la papelera, éste no desaparece físicamente 
de forma inmediata. Internamente, el sistema de archivos del sistema operativo utiliza para 
cada archivo punteros o enlaces para apuntar a toda la información del archivo en el disco. 
Cuando se borra pulsando el botón Eliminar, este puntero es liberado marcándose la infor- 
mación a la que apuntaba como borrable, aunque dicha información no es borrada inmedia- 
tamente, sino que permanece en el disco hasta que ese espacio sea reclamado y sobrescrito 
por otro archivo. Esta circunstancia puede darse 10 segundos, 10 días o 10 meses después. 
Es lo que permite que a veces puedan recuperarse archivos borrados por error. En realidad, 
nunca se está seguro de lo que ha quedado perdido por el disco duro, lo que se conoce como 
remanencia de datos. Algunas utilidades muy sencillas como las clásicas Norton Utilities 
permiten recuperar archivos borrados tiempo atrás. Y si el disco duro se somete a un análisis 
forense exhaustivo en laboratorios especializados, puede recuperarse información irrecupe- 
rable por los programas anteriores. Por otro lado, cuando se borra un disco completo no sólo 
se borran los archivos, sino también la tabla de asignación de archivos (File Allocation Table 
o FAT), el registro maestro de arranque (Master Boot Record o MBR) y otra información de 
control del disco. Téngase en cuenta que aunque se borre un archivo de manera segura, si no 
se borra la FAT quedará constancia de su existencia. Por eso resulta tan importante asegurar- 
se de que aquello que se borra, se borra de verdad. En algunos casos, habrá que recurrir al 
borrado del disco completo. 

Para un borrado seguro de archivos en el disco duro se suele utilizar la técnica de la 
sobrescritura. Consiste en sobrescribir múltiples veces con cadenas de unos y ceros la infor- 
mación a borrar con el fin de frustrar cualquier intento posterior de recuperar información 
del disco incluso mediante las técnicas más avanzadas. Este proceso puede repetirse 7 y 
hasta 35 veces, en función del nivel de clasificación de la información sensible que se desea 
destruir irreversiblemente. En casos extremos en los que no se piensa reutilizar el medio de 
almacenamiento, éste debe destruirse físicamente, típicamente incinerándolo. Otra forma de 
destruir la información sin destruir el medio de almacenamiento consiste en desmagnetizar 
los discos duros, devolviéndolos a su estado original, proceso conocido como degaussing. 

Siempre que se piense reutilizar un medio de almacenamiento de datos que haya conten1- 
do información confidencial, debe someterse a un proceso de borrado seguro. Por ejemplo, 
Imagine que tras cinco años renueva su parque informático y dona sus antiguos equipos a 
una ONG o los regala a sus empleados para que se los lleven a casa. Los discos duros de esos 
equipos han podido contener información clasificada: datos sensibles de la empresa, datos 
de carácter personal de empleados o clientes, información privada de sus antiguos usuarios, 
etcétera. Por tanto, previamente a deshacerse de ellos, no sólo debería formatear los discos 
duros, sino que además debería emplear un programa de destrucción segura de los datos. 

Existen programas que permiten borrar la información del disco duro sin posibilidad 
de ser recuperada, como los listados en la Tabla 2.9. Si piensa adquirir uno, puede intere- 
sarle informarse acerca de los diferentes estándares de borrado de datos existentes en la 
actualidad: 


U.S. Standard, DoD 5220.22-M: El área de datos se sobrescribe primero con ceros, 
luego con unos y luego una última vez con datos aleatorios. Es muy rápido, pero 
menos seguro. 
A NSA: Los datos se sobrescriben 7 veces, siguiendo el patrón primero con ceros, 
luego con unos, y así sucesivamente. Alcanza un buen compromiso entre seguridad y 
rapidez. 
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Tabla 2.9. Programas freeware para borrado irrecuperable de datos. 


Nombre URL Descripción 


Eraser www.heidi.1e/eraser Basado en el método de Guttman. 
Con interfaz gráfico de usuario. 
(Véase Figura 2.11.) 


SDelete www.sysinternals.com/ntw2k/ Basado en el estándar DoD 5220.22-M. 
source/sdelete.shtml 
PGP www.pgpi.org Permite borrar archivos o grupos 


de archivos y sobrescribir las áreas 
no utilizadas del disco. 
Freeware para uso no comercial. 


§ Método Guttman: El área de datos se sobrescribe 35 veces. Resulta muy seguro, pero 
también muy lento. 


En XP existe una utilidad del sistema operativo llamada cipher que también permite 
borrar permanentemente la información de sectores sin asignar. Se trata de la misma herra- 
mienta utilizada para cifrar el sistema de archivos (EFS). En el Capítulo 3 se examina en 
detalle el funcionamiento del sistema de archivos de cifrado y de cipher dentro de la sección 
“Confidencialidad en el almacenamiento de datos”. Para sobrescribir toda la información 
borrada de una carpeta, de manera que sea imposible de recuperar con las herramientas 
forenses comerciales, utilice la opción /w de cipher. 


1. Cierre todos los programas. 
2. Abra una ventana de DOS. 
3. Escriba “cipher /w:letra_disco:1carpeta”. 


Por ejemplo, si ha borrado todos los archivos y carpetas contenidos en la carpeta “secre- 
tos” del disco E:, para sobrescribir todo el espacio debería ejecutar el siguiente comando: 


cipher /w:e: secretos 


Ley Orgánica de Protección de Datos de carácter 
personal (LOPD) 


Toda empresa, grande o pequeña, se relaciona con personas, ya sean sus empleados, sus 
clientes o sus proveedores. Estas personas poseen nombres y apellidos, números de identifi- 
cación fiscal, direcciones, teléfonos, ideas políticas y religiosas, vida sexual, historiales mé- 
dicos y financieros, e incluso registros penales y administrativos. Asegurar la privacidad de 
toda esta información es un requisito capital de empresas y de profesionales liberales. La 
protección de la privacidad deberá ser por tanto un objetivo primordial en la política de 
seguridad de toda organización. 

Desde la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Perso- 
nal (LOPD) el 14 de enero de 2000, todas las personas físicas o jurídicas, de naturaleza 
pública o privada, están obligadas a registrar en la Agencia Española de Protección de Datos 
los ficheros que contengan datos de carácter personal. La mayoría de las obligaciones esta- 
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Figura 2.11. La mejor forma de no dejar información sensible remanente en el disco duro 
consiste en utilizar un programa de borrado seguro, como Eraser. 


blecidas por el legislador respecto a la protección de datos se remontan al 31 de octubre de 
1992, fecha de entrada en vigor de la derogada LORTAD. No obstante, la LOPD ha servido 
para impulsar la protección de la privacidad de los ciudadanos. Ante esta nueva disposición, 
cabe plantearse las siguientes preguntas, a las que se irá dando respuesta a continuación: 


¿Qué se entiende por datos de carácter personal? 


Â ¿A qué tipo de ficheros se les aplica la LOPD? 
A ¿Quién está obligado a notificar los ficheros ante la Agencia Española de Protección 
de Datos? 
¿Qué obligaciones legales existen para quien trate datos de carácter personal? 
8 ¿Qué medidas de seguridad deben adoptarse para proteger los ficheros como exige 


la Ley? 


Datos de carácter personal 


En primer lugar es menester dilucidar el concepto de intimidad o, más concisamente, de dato 
personal. Se entiende por dato personal cualquier tipo de dato que permita conocer en senti- 
do amplio las características personales de un individuo. En concreto, en el artículo 3.a de la 
LOPD se define dato personal como “cualquier información concerniente a personas físicas 
identificadas o identificables”. Ahora bien, la Ley no considera igualmente importantes to- 
dos los datos personales, sino que distingue entre “datos personales” y “datos personales 
especialmente protegidos”, siendo estos últimos los referidos a ideología, religión o creen- 
cias (artículo 7.1), afiliación sindical (artículo 7.2), origen racial, salud y vida sexual (artícu- 
lo 7.3), comisión de infracciones penales y administrativas (artículo 7.5). 


Tipos de ficheros 


En su artículo 3.b, la Ley entiende por fichero “todo conjunto organizado de datos de carác- 
ter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, 
organización y acceso”. Téngase muy presente que esta definición no sólo comprende los 
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ficheros informáticos susceptibles de tratamiento automatizado, sino también los ficheros en 
papel, sujetos a tratamiento manual. A pesar de que la LOPD entró en vigor el 14 de enero de 
2000, para este tipo de ficheros no automatizados la adecuación de los mismos al marco legal 
deberá cumplimentarse en el plazo de 12 años a contar desde el 24 de octubre de 1995, por lo 
que se pueden adecuar hasta el 24 de octubre de 2007. 

La creación de ficheros de titularidad privada que contengan datos de carácter personal 
estará justificada siempre y cuando resulte necesario para el logro de la actividad u objeto 
legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en 
la LOPD. Estos datos deben ser “adecuados, pertinentes y no excesivos en relación con el 
ámbito y las finalidades (...) para las que se hayan obtenido”. Por ejemplo, si está compran- 
do un libro a través de Internet, resulta lógico que se le exija su nombre y apellidos, domici- 
lio, DNI y número de tarjeta de crédito. No así que se le pregunte por su nivel de ingresos. 
Esta información se almacenará típicamente en bases de datos relacionales, como Microsoft 
Access, aptas para pequeños volúmenes de datos, o Microsoft SQL Server, más adecuado 
para asegurar el rendimiento y fiabilidad con grandes volúmenes de información. 

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter perso- 
nal debe notificarlo previamente a la Agencia Española de Protección de Datos. Si la exis- 
tencia de un fichero no se notificase, supondría una infracción leve o grave, quedando sujeto 
al régimen sancionador previsto en esta Ley. 


Sujetos a la Ley 


Están obligados a cumplir la LOPD las personas físicas o jurídicas que creen y traten fiche- 
ros que contengan datos de carácter personal, tal y como han sido definidos en los párrafos 
anteriores. A continuación se detallan cuáles son algunas de las obligaciones legales a que se 
ven sujetos. 


Obligaciones legales 


El “responsable del fichero o tratamiento”, esto es, “la persona física o jurídica, de naturale- 
za pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso 
del tratamiento”, deberá cumplir con una serie de obligaciones legales, entre otras: 


Principio de calidad de datos. 

Deber de información. 

Solicitud del consentimiento para tratamiento y cesión de datos. 
Flujos de datos. 

Deber de guardar secreto. 

Atención de los derechos de los ciudadanos. 

Notificación de ficheros. 

Adopción de medidas de seguridad necesarias. 
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Principio de calidad de datos 


Los datos recogidos para su tratamiento en los ficheros deben ser “de calidad”, en el sentido 
ya mencionado de que deben ser adecuados, pertinentes y no excesivos. Por ejemplo, no se 
recabarán a través de Internet datos personales cuyo conocimiento por parte del responsable 
no esté justificado por la finalidad para la que se recaban y de la cual el usuario no haya sido 
previamente informado. A este respecto, se considera una buena práctica que se facilite y 
permita la consulta anónima de sitios comerciales sin solicitar a los usuarios que se identifi- 
quen mediante su nombre, apellidos, dirección electrónica u otros datos. 
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Si, aparte de los datos personales que facilita voluntariamente el interesado a través de 
Internet, se utilizan procedimientos automáticos invisibles de recogida de datos relativos a 
una persona identificada o identificable (cookies, datos de navegación, información propor- 
cionada por los navegadores, contenidos activos,...) se informará claramente de esta circuns- 
tancia al usuario, antes de comenzar la recogida de datos a través de ellos o de desencadenar 
la conexión del ordenador del usuario con otro sitio Web, ya que “se prohíbe la recogida de 
datos por medios fraudulentos, desleales o ilícitos”. El uso de directivas de privacidad P3P 
puede resultar muy útil en este sentido. 

Además, “los datos de carácter personal serán exactos y puestos al día de forma que 
respondan con veracidad a la situación actual del afectado”. Por otro lado, una vez hayan 
cumplido la función para la que fueron recabados, los datos personales deberán cancelarse. 


Deber de información 


El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, 
es uno de los principios fundamentales sobre los que se asienta la LOPD. La Ley contempla 
tres situaciones: los datos han sido suministrados por el propio interesado, los datos no han 
sido recabados del propio interesado o los datos proceden de fuentes accesibles al público. 
Para el primer caso, en el artículo 5.1 se recoge que: 


“Los interesados a los que se soliciten datos personales deberán ser previamente informa- 
dos de modo expreso, preciso e inequívoco: 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la 
finalidad de la recogida de éstos y de los destinatarios de la información. 

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean 
planteadas. 

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y 
Oposición. 

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su 
representante.” 


Por tanto, cada persona de la que se pretenda recabar sus datos personales deberá ser 
informada previamente de todo el contenido del artículo 5.1 para que así conozca con qué 
finalidad se van a tratar, y por quién, pudiendo además en cualquier momento ejercitar sus 
derechos de acceso, rectificación, cancelación u oposición. 

Por ejemplo, en una página Web con un formulario de recogida de datos, conviene mos- 
trar esta advertencia de manera ineludible y no optativa. Asimismo, en dicha página se 
especificará claramente el nombre o denominación social y el domicilio del responsable del 
fichero al que se incorporarán los datos personales solicitados, así como una referencia al 
código de inscripción asignado por el Registro General de Protección de Datos. Deberán 
destacarse por algún medio, por ejemplo utilizando otro color o un asterisco (*), los campos 
obligatorios para diferenciarlos de los opcionales. Esta información no será necesaria si se 
deduce claramente de la naturaleza de los datos recabados o de las circunstancias en que se 
solicitan. 

En el segundo caso, que se da por ejemplo cuando una empresa compra a otra una base de 
datos de clientes, el interesado “deberá ser informado de forma expresa, precisa e inequívo- 
ca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al 
momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del 
contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras 
a), d) y e) del apartado 1 del presente artículo.” 
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Por último, “tampoco regirá lo dispuesto en el apartado anterior cuando los datos proce- 
dan de fuentes accesibles al público y, se destinen a la actividad de publicidad o prospección 
comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del 
origen de los datos y de la identidad del responsable del tratamiento así como de los derechos 
que le asisten.” 

Cabe mencionar lo que la Ley entiende por Fuentes accesibles al público: “aquellos fiche- 
ros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma 
limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la 
consideración de fuentes de acceso público, exclusivamente, el censo promocional, los reper- 
torios telefónicos en los términos previstos por su normativa específica y las listas de perso- 
nas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, 
título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al 
grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines 
oficiales y los medios de comunicación.” 


Solicitud del consentimiento para tratamiento y cesión de datos 


Es natural suponer que si los datos se almacenan en un fichero serán tratados de alguna 
forma. Este tratamiento requiere el consentimiento del afectado, tal y como se recoge en el 
artículo 6: “El tratamiento de los datos de carácter personal requerirá el consentimiento 
inequívoco del afectado, salvo que la Ley disponga otra cosa”. Se trata del principio funda- 
mental de la norma para salvaguardar la privacidad: nada podrá hacerse con los datos del 
interesado sin su consentimiento. 

El régimen de las cesiones de datos a terceros se contempla en el artículo 11: “Los datos 
de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el 
cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y 
del cesionario con el previo consentimiento del interesado.” 

Los usuarios serán convenientemente informados en los casos en los que sus datos vayan 
a ser comunicados a los responsables de otras Webs que pudieran estar vinculadas (por ejem- 
plo, mediante un hiperenlace) con la Web a través de la cual son recogidos. En tales casos, se 
especificará claramente qué datos serán comunicados, así como la identidad y dirección de 
los cesionarios. 


Flujos de datos 


La Ley contempla diferentes escenarios en los que los datos personales recabados pueden ser 
transferidos a otras entidades: 


La comunicación de datos a terceros, tratadas en el apartado anterior. 

A El acceso por cuenta de terceros: Se produce en aquellas ocasiones en que un tercero 
necesite acceder a los datos para prestar un servicio al responsable del tratamiento, 
tal y como se recoge en el artículo 12. Estos tratamientos por terceros deberán 
estar regulados contractualmente con el fin de proteger los datos frente a abusos. 
Terminada la relación contractual, los datos deberán ser destruidos o devueltos a su 
responsable. 

S Las transferencias internacionales, desarrolladas a continuación. 


Las transferencias de datos de carácter personal a otros países sólo podrán realizarse si 
éstos reúnen unos requisitos de seguridad comparables a los de la Ley española. Según el 
artículo 33, Norma general: 
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1. “No podrán realizarse transferencias temporales ni definitivas de datos de carácter 
personal que hayan sido objeto de tratamiento o hayan sido recogidos para someter- 
los a dicho tratamiento con destino a países que no proporcionen un nivel de protec- 
ción equiparable al que presta la presente Ley, salvo que, además de haberse observado 
lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Espa- 
ñola de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías ade- 
cuadas. 

2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará 
por la Agencia Española de Protección de Datos atendiendo a todas las circunstan- 
cias que concurran en la transferencia o categoría de transferencia de datos. En par- 
ticular, se tomará en consideración la naturaleza de los datos de finalidad y la duración 
del tratamiento o de los tratamientos previstos, el país de origen y el país de destino 
final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de 
que se trate, el contenido de los informes de la Comisión de la Unión Europea, así 
como las normas profesionales y las medidas de seguridad en vigor en dichos países.” 


En la actualidad, se consideran países aptos cualquier Estado miembro de la Unión Euro- 
pea (Art. 34.k), junto con Suiza, Hungría, Argentina, Canadá y EE.UU., este último en base 
a los principios de puerto seguro (Safe Harbor Principles), garantías aprobadas por el De- 
partamento de Comercio de EE.UU. Las empresas americanas que se acogen a estos princi- 
pios se comprometen a cumplir los mismos, colaborar con las autoridades europeas de 
protección de datos y adoptar medidas tendentes a la protección de datos de carácter personal 
equiparables a las que viene obligada a adoptar cualquier organización europea en virtud de 
su ordenamiento jurídico nacional. Debido al elevado número de dudas por parte de los 
responsables de los ficheros y la sociedad en general suscitadas por el régimen del movi- 
miento internacional de datos de carácter personal, la Agencia de Protección de Datos ha 
publicado en la instrucción 1/2000 de 1 de diciembre, una serie de normas orientadoras para 
la aplicación práctica de las disposiciones de la LOPD relativas a la transferencia internacio- 
nal de datos de carácter personal. 


Deber de guardar secreto 


Los datos de carácter personal deberán mantenerse siempre y en todo momento en secreto y 
seguramente custodiados. Según el artículo 10, Deber de secreto: “El responsable del fichero 
y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal 
están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obli- 
gaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, 
en su caso, con el responsable del mismo.” 


Atención de los derechos de los ciudadanos 


Es fundamental proporcionar a las personas cuyos datos de carácter personal se almacenan los 
mecanismos oportunos para que llegado el caso puedan ejercer sus derechos de acceso, recti- 
ficación, cancelación y oposición sobre sus datos. Según el artículo 15, Derecho de acceso: 


1. “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus 
datos de carácter personal sometidos a tratamiento, el origen de dichos datos así 
como las comunicaciones realizadas o que se prevén hacer de los mismos. 

2. La información podrá obtenerse mediante la mera consulta de los datos por medio de 
su visualización, o la indicación de los datos que son objeto de tratamiento mediante 
escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, 
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sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos espe- 
cíficos. 

El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a interva- 
los no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al 
efecto, en cuyo caso podrá ejercitarlo antes”. 


su parte, el artículo 16, Derecho de rectificación y cancelación, establece que: 


“El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de 
rectificación o cancelación del interesado en el plazo de diez días. 

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo trata- 
miento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales 
datos resulten inexactos o incompletos. 

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a dis- 
posición de las Administraciones Públicas, Jueces y Tribunales, para la atención de 
las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescrip- 
ción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 

Si los datos rectificados o cancelados hubieran sido comunicados previamente, el 
responsable del tratamiento deberá notificar la rectificación o cancelación efectuada 
a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este 
último, que deberá también proceder a la cancelación. 

Los datos de carácter personal deberán ser conservados durante los plazos previstos 
en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la 
persona o entidad responsable del tratamiento y el interesado”. 


Mientras que el artículo 17, Procedimiento de oposición, acceso, rectificación o cancela- 
ción, regula que: 


1. 


2. 


“Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de 
rectificación y cancelación serán establecidos reglamentariamente. 

No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, 
acceso, rectificación o cancelación.” 


Notificación de ficheros 


Según el artículo 26, Notificación e inscripción registral: 


1. 


2. 


“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter 
personal lo notificará previamente a la Agencia Española de Protección de Datos. 
Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos 
que debe contener la notificación, entre los cuales figurarán necesariamente el res- 
ponsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter 
personal que contiene, las medidas de seguridad, con indicación del nivel básico, 
medio o alto exigible y las cesiones de datos de carácter personal que se prevean 
realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 
Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que 
se produzcan en la finalidad del fichero automatizado, en su responsable y en la 
dirección de su ubicación. 

El Registro General de Protección de Datos inseribirá el fichero si la notificación se 
ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los 
datos que falten o se proceda a su subsanación. 
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5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la 
Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se enten- 
derá inscrito el fichero automatizado a todos los efectos.” 


La notificación de estos ficheros al Registro General de Protección de Datos (RGPD), 
órgano de la Agencia Española de Protección de Datos al que corresponde velar por la publi- 
cidad de la existencia de los ficheros y tratamientos de datos de carácter personal, con miras 
a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancela- 
ción de datos, es gratuita y debe realizarse previamente a su creación. Los modelos podrán 
cumplimentarse indistintamente en soporte papel, magnético o telemático. Existe un progra- 
ma de ayuda para la cumplimentación de estos modelos por Internet o soporte magnético que 
puede descargarse desde www.agpd.es/upload/privado.exe. 


Adopción de medidas de seguridad necesarias 


Los responsables de los ficheros de datos de carácter personal están obligados a implantar 
una serie de medidas de seguridad, recogidas en el artículo 9, Seguridad de los datos: 


1. “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán 
adoptar las medidas de índole técnica y organizativas necesarias que garanticen la 
seguridad de los datos de carácter personal y eviten su alteración, pérdida, trata- 
miento o acceso no autorizado, habida cuenta del estado de la tecnología, la natura- 
leza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la 
acción humana o del medio físico o natural. 

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condicio- 
nes que se determinen por vía reglamentaria con respecto a su integridad y seguridad 
y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir 
los ficheros y las personas que intervengan en el tratamiento de los datos a que se 
refiere el artículo 7 de esta Ley.” 


Se considera una buena práctica la adopción de medidas que eviten que la información 
circule por la red de forma inteligible y, por tanto, susceptible de ser conocida o manipulada 
por terceros. Del mismo modo, se considera buena práctica proporcionar al usuario informa- 
ción acerca del nivel de protección que proporciona la tecnología utilizada. Estas medidas de 
seguridad se desarrollan en detalle en el Reglamento de Medidas de Seguridad de los Fiche- 
ros Automatizados que Contengan Datos de Carácter Personal, el cual se describe en la 
siguiente sección. 


Medidas de seguridad 


En cumplimiento de lo establecido en el artículo 9 de la LOPD, se desarrolla el Reglamento 
de Medidas de Seguridad de los Ficheros Automatizados que Contengan Datos de Carácter 
Personal a través del Real Decreto 994/1999. Este reglamento tiene por objeto establecer las 
medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben 
reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, 
programas y las personas que intervengan en el tratamiento automatizado de los datos de 
carácter personal. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, 
medio y alto. Dichos niveles se establecen atendiendo a la naturaleza de la información 
tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la 
integridad de la información. 


84 Seguridad informática para empresas y particulares 


Nivel básico: Todos los ficheros que contengan datos de carácter personal. 

A Nivel medio: Los ficheros que contengan datos relativos a la comisión de infraccio- 
nes administrativas o penales, Hacienda Pública, servicios financieros. 

§ Nivel alto: Los ficheros que contengan datos de ideología, religión, creencias, origen 

racial, salud o vida sexual así como los que contengan datos recabados para fines 

policiales sin consentimiento de las personas afectadas y de afiliación sindical. 


Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de 
redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspon- 
diente a los accesos en modo local. 

Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con 
arreglo a los criterios establecidos en el citado Reglamento. Todo fichero temporal será bo- 
rrado una vez que haya dejado de ser necesario para los fines que motivaron su creación. 


Medidas de seguridad de nivel básico 


Cuando se traten datos de nivel básico, deberán adoptarse las medidas enumeradas a conti- 
nuación. 


Documento de seguridad 


El responsable del fichero elaborará e implantará la normativa de seguridad mediante un 
documento de obligado cumplimiento para el personal con acceso a los datos automatizados 
de carácter personal y a los sistemas de información. El documento deberá contener, como 
mínimo, los siguientes aspectos: 


Ámbito de aplicación del documento con especificación detallada de los recursos 
protegidos. 

Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el 
nivel de seguridad exigido en el citado Reglamento. 

Funciones y obligaciones del personal. 

Estructura de los ficheros con datos de carácter personal y descripción de los siste- 
mas de información que los tratan. 

Procedimiento de notificación, gestión y respuesta ante las incidencias. 

Los procedimientos de realización de copias de respaldo y de recuperación de los 
datos. 


D> 


> D 


uN 


Funciones y obligaciones del personal 


Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter 
personal y a los sistemas de información estarán claramente definidas y documentadas, de 
acuerdo con lo previsto en el documento de seguridad. El responsable del fichero adoptará 
las medidas necesarias para que el personal conozca las normas de seguridad que afecten al 
desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de 
incumplimiento. En el Capítulo 5 se explica cómo insertar avisos legales durante el inicio de 
sesión. 


Registro de incidencias 


El procedimiento de notificación y gestión de incidencias contendrá necesariamente un re- 
gistro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la 
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persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran 
derivado de la misma. 


Identificación y autenticación 


El responsable del fichero se encargará de que exista una relación actualizada de usuarios 
que tengan acceso autorizado al sistema de información y de establecer procedimientos de 
identificación y autenticación para dicho acceso. Cuando el mecanismo de autenticación se 
base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y 
almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambia- 
rán con la periodicidad que se determine en el documento de seguridad y mientras estén 
vigentes se almacenarán de forma ininteligible. La autenticación se explica en el Capítulo 3 
y la gestión de contraseñas, en el 5. 


Autorización 


Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen 
para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para 
evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autoriza- 
dos. La autorización se introduce en el Capítulo 3 y se desarrolla en el 5. 


Gestión de soportes 


Los soportes informáticos que contengan datos de carácter personal deberán permitir identi- 
ficar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con 
acceso restringido al personal autorizado para ello en el documento de seguridad. La salida 
de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los 
que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero. 


Copias de respaldo 


El responsable del fichero se encargará de verificar la definición y correcta aplicación de los 
procedimientos de realización de copias de respaldo y de recuperación de los datos. Los 
procedimientos establecidos para la realización de copias de respaldo y para la recuperación 
de los datos deberán garantizar su reconstrucción en el estado en que se encontraban al 
tiempo de producirse la pérdida o destrucción. Deberán realizarse copias de respaldo, 
al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actua- 
lización de los datos. Las copias de seguridad del sistema de archivos se tratan en el Capí- 
tulo 3, en la sección “Disponibilidad”. 


Medidas de seguridad de nivel medio 


Cuando existan datos de nivel medio, deberán adoptarse las medidas enumeradas a conti- 
nuación, además de las de nivel básico. 


Documento de seguridad 


El documento de seguridad deberá contener además la identificación del responsable o res- 
ponsables de seguridad, los controles periódicos que se deban realizar para verificar el cum- 
plimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar 
cuando un soporte vaya a ser desechado o reutilizado. 
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Responsable de seguridad 


El responsable del fichero designará uno o varios responsables de seguridad encargados de 
coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso 
esta designación supone una delegación de la responsabilidad que corresponde al responsa- 
ble del fichero de acuerdo con el citado Reglamento. 


Auditoría 


Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría 
interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedi- 
mientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. 


Identificación y autenticación 


El responsable del fichero establecerá un mecanismo que permita la identificación de forma 
inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de informa- 
ción y la verificación de que está autorizado. Se limitará la posibilidad de intentar reiterada- 
mente el acceso no autorizado al sistema de información. En la sección “Protección del cliente” 
del Capítulo 5 se explica cómo configurar estas directivas de seguridad de contraseñas. 


Autorización 


Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a 
los locales donde se encuentren ubicados los sistemas de información con datos de carácter 
personal. La autorización se introduce en el Capítulo 3 y se desarrolla en el 5. 


Control de acceso físico 


Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a 
los locales donde se encuentren ubicados los sistemas de información con datos de carácter 
personal. 


Gestión de soportes 


Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, 
directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de 
soportes, el tipo de información que contienen, la forma de envío y la persona responsable de 
la recepción que deberá estar debidamente autorizada. Igualmente, se dispondrá de un siste- 
ma de registro de salida de soportes informáticos que permita, directa o indirectamente, 
conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de 
información que contienen, la forma de envío y la persona responsable de la entrega que 
deberá estar debidamente autorizada. Cuando un soporte vaya a ser desechado o reutilizado, 
se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la 
información almacenada en él, previamente a que se proceda a su baja en el inventario. Vea 
la sección “Borrado seguro de datos” en este mismo capítulo. 


Registro de incidencias 


En el registro de incidencias deberán consignarse, además, los procedimientos realizados 
de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaura- 
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dos y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recu- 
peración. 


Pruebas con datos reales 


Las pruebas anteriores a la implantación o modificación de los sistemas de información que 
traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se 
asegure el nivel de seguridad correspondiente al tipo de fichero tratado. 


Medidas de seguridad de nivel alto 


Por último, para el tratamiento de datos de nivel alto, deberán adoptarse las medidas enume- 
radas a continuación, además de las de nivel básico y medio. 


Distribución de soportes 


La distribución de los soportes que contengan datos de carácter personal se realizará cifran- 
do dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha infor- 
mación no sea inteligible ni manipulada durante su transporte. La sección “Confidencialidad 
en el almacenamiento de datos” del Capítulo 3 trata este problema. 


Registro de accesos 


De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en 
que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el 
caso de que el acceso haya sido autorizado, será preciso guardar la información que permita 
identificar el registro accedido. 

Los mecanismos que permiten el registro de los datos detallados en los párrafos anterio- 
res estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en 
ningún caso, la desactivación de los mismos. El período mínimo de conservación de los 
datos registrados será de dos años. 

El responsable de seguridad competente se encargará de revisar periódicamente la infor- 
mación de control registrada y elaborará un informe de las revisiones realizadas y los proble- 
mas detectados al menos una vez al mes. Este tema se trata en la sección “Registros de 
auditoría de sistemas” del Capítulo 6. 


Copias de respaldo y recuperación 


Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los 
datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los 
tratan cumpliendo, en todo caso, las medidas de seguridad exigidas en este Reglamento. Las 
copias de seguridad del sistema de archivos se tratan en la sección “Disponibilidad” del 
Capítulo 3. 


Telecomunicaciones 


La transmisión de datos de carácter personal a través de redes de telecomunicaciones se 
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice 
que la información no sea inteligible ni manipulada por terceros. Estas cuestiones se tratan 
en la sección “Confidencialidad en el transporte de datos” del Capítulo 3 y en la sección 
“Redes privadas virtuales” del Capítulo 4. 
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Normativa sobre Protección de Datos de Carácter Personal 


A continuación se lista la normativa imprescindible sobre Protección de Datos de Carácter 
Personal para estar informado: 


Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa 
a la protección de las personas físicas en lo que respecta al tratamiento de datos 
personales y a la libre circulación de estos datos. 

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Per- 
sonal. (LOPD). 

RD 994/1999, de fecha 11 de junio, por el que se aprueba el Reglamento de Medidas de 
Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal. 
Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados 
aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento 
Automatizado de los datos de carácter personal. 

Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la 
Agencia de Protección de Datos (APD). 

Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (Transposición de 
la Directiva 2002/58/CE “sobre la privacidad y las comunicaciones electrónicas”). 
Otras disposiciones (Instrucciones y Recomendaciones de la APD). 

Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la 
Comunidad de Madrid. 

Decreto 22/1998, de 12 de febrero, por el que se aprueba el Estatuto de la Agencia de 
Protección de Datos de la Comunidad de Madrid. 


> DD» >X > > 


un D> D> 


Ley de Servicios de la Sociedad de la Información y 
Comercio Electrónico (LSSICE) 


Ya desde que sus primeros borradores vieron la luz en el año 2001, la controvertida Ley de 
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) se ha visto 
sumida en la polémica y ha protagonizado las más airadas discusiones en los foros de Internet. 
A pesar de campañas de oposición a la Ley y de críticas acerbas, lo cierto es que desde el 12 
de octubre de 2002 la LSSICE obliga a su adaptación legal a los responsables de páginas 
Web en las que se realicen actividades comerciales o de promoción. El objetivo primordial 
perseguido por esta Ley, y alcanzado con mejor o peor fortuna, consiste en la regulación de la 
enmarañada jungla de servicios y comunicaciones de Internet, donde habían proliferado 
todo tipo de negocios dudosos y abusos al consumidor. 

Esta Ley afecta a todas las empresas y profesionales que presten servicios que represen- 
ten una actividad económica para el prestador y: 


Hayan registrado uno o más dominios de Internet. 

Dispongan de una página Web para la propaganda y comercialización de sus servicios. 
Se sirvan del correo electrónico con fines de promoción comercial. 

Utilicen Internet para la realización de contratos electrónicos. 


wm Dip : 


Constancia registral del nombre de dominio 


El mero hecho de que una empresa o profesional liberal registre uno o más dominios en 
Internet le obliga a notificar al menos uno en el plazo de un mes al Registro Mercantil o 
Público donde se halle inscrito. En su artículo 9, la Ley establece que “los prestadores de 
servicios de la sociedad de la información establecidos en España deberán comunicar al 
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Registro Mercantil en el que se encuentren inscritos, o a aquel otro registro público en el que 
lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad, 
al menos, un nombre de dominio o dirección de Internet que, en su caso, utilicen para su 
identificación en Internet.” 


Información general 


Todas aquellas empresas o particulares que dispongan de una página de presencia en Internet, 
tenga ésta fines comerciales directa o indirectamente, quedan obligadas por la LSSICE a 
disponer dentro del sitio Web, en lugar bien visible y públicamente accesible, su nombre, 
domicilio, información de contacto (correo electrónico o teléfono), datos de inscripción en el 
registro mercantil y número de identificación fiscal. En su artículo 10, la Ley establece que 
“el prestador de servicios de la sociedad de la información estará obligado a disponer de los 
medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, 
acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente 
información: 


a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la 
dirección de uno de sus establecimientos permanentes en España; su dirección de 
correo electrónico y cualquier otro dato que permita establecer con él una comunica- 
ción directa y efectiva. 

b) Los datos de su inscripción en el Registro a que se refiere el artículo 9. 

c) Enel caso de que su actividad estuviese sujeta a un régimen de autorización adminis- 
trativa previa, los datos relativos a dicha autorización y los identificativos del órgano 
competente encargado de su supervisión. 

d) Si ejerce una profesión regulada deberá indicar: 

1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de 
colegiado. 

2. El título académico oficial o profesional con el que cuente. 

3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se 
expidió dicho título y, en su caso, la correspondiente homologación o reconoc1- 
miento. 

4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a 
través de los cuales se puedan conocer, incluidos los electrónicos. 

e) El número de identificación fiscal que le corresponda. 

f) Información clara y exacta sobre el precio del producto o servicio, indicando si inclu- 
ye o no los impuestos aplicables y, en su caso, sobre los gastos de envío. 

g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consul- 
tarlos electrónicamente.” 


Comunicaciones comerciales por vía electrónica 


Si una empresa o particular utilizan el correo electrónico como medio de promoción para 
enviar información comercial a sus clientes, actuales o potenciales, debe tenerse muy 
en cuenta la nueva regulación en esta materia, cuyo fin es perseguir y atajar el spam. 
El artículo 20 exige suministrar una serie de informaciones sobre las comunicaciones comer- 
ciales, ofertas promocionales y concursos: 


1. “Las comunicaciones comerciales realizadas por vía electrónica deberán ser clara- 
mente identificables como tales y deberán indicar la persona física o jurídica en 
nombre de la cual se realizan. En el caso en el que tengan lugar a través de correo 


90 Seguridad informática para empresas y particulares 


electrónico u otro medio de comunicación electrónica equivalente incluirán al co- 
mienzo del mensaje la palabra «publicidad». 

2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, pre- 
mios y regalos, y de concursos o juegos promocionales, previa la correspondiente 
autorización, se deberá asegurar, además del cumplimiento de los requisitos estable- 
cidos en el apartado anterior y en las normas de ordenación del comercio, que que- 
den claramente identificados como tales y que las condiciones de acceso y, en su 
caso, de participación se expresen de forma clara e inequívoca.” 


El artículo 21 prohíbe “el envío de comunicaciones publicitarias o promocionales por 
correo electrónico u otro medio de comunicación electrónica equivalente que previamente 
no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mis- 
mas.” Este artículo ilegaliza por tanto toda forma de spam o correo comercial no solicitado. 
Véase la sección “Protección antispam” del Capítulo 5 para una descripción detallada de 
este problema y cómo combatirlo. 

“Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación 
contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de 
contacto del destinatario y los empleara para el envío de comunicaciones comerciales refe- 
rentes a productos o servicios de su propia empresa que sean similares a los que inicialmente 
fueron objeto de contratación con el cliente. 

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al 
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gra- 
tuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones 
comerciales que le dirija.” 

Por último, el artículo 22 regula los derechos de los destinatarios de comunicaciones 
comerciales: 


1. “Si el destinatario de servicios debiera facilitar su dirección de correo electrónico 
durante el proceso de contratación o de suscripción a algún servicio y el prestador 
pretendiera utilizarla posteriormente para el envío de comunicaciones comerciales, 
deberá poner en conocimiento de su cliente esa intención y solicitar su consentimien- 
to para la recepción de dichas comunicaciones, antes de finalizar el procedimiento 
de contratación. 

2. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la 
recepción de comunicaciones comerciales con la simple notificación de su voluntad 
al remitente. 


A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y 
gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubie- 
ran prestado. 

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos 
procedimientos.” 


Contratación de servicios por vía electrónica 


S1 una empresa o particular comercializa sus servicios a través de Internet, de manera que 
puedan ser contratados por sus futuros clientes por esta vía, sin distinguirse la forma de pago 
adoptada, entonces, además de los requisitos mencionados en la sección anterior, se está 
obligado a “informar al destinatario de manera clara, comprensible e inequívoca, y antes de 
iniciar el procedimiento de contratación, sobre los siguientes extremos: 


a) Los distintos trámites que deben seguirse para celebrar el contrato. 


b) 


c) 
d) 
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Si el prestador va a archivar el documento electrónico en que se formalice el contrato 
y si éste va a ser accesible. 

Los medios técnicos que pone a su disposición para identificar y corregir errores en 
la introducción de los datos, y 

La lengua o lenguas en que podrá formalizarse el contrato.” 


Tras la celebración del contrato, “el oferente está obligado a confirmar la recepción de la 
aceptación al que la hizo por alguno de los siguientes medios: 


a) 


b) 


El envío de un acuse de recibo por correo electrónico u otro medio de comunicación 
electrónica equivalente a la dirección que el aceptante haya señalado, en el plazo de 
las veinticuatro horas siguientes a la recepción de la aceptación, o 

La confirmación, por un medio equivalente al utilizado en el procedimiento de con- 
tratación, de la aceptación recibida, tan pronto como el aceptante haya completado 
dicho procedimiento, siempre que la confirmación pueda ser archivada por su desti- 
natario.” 


Normativa sobre comercio electrónico 


A continuación se lista la normativa imprescindible para estar informado sobre legislación 
en comercio electrónico: 


>X > > 


Directiva 2000/31/CE, del Parlamento europeo y del Consejo, de 8 de junio, relativa 
a determinados aspectos de los servicios de la sociedad de la información, en particu- 
lar, el comercio electrónico en el mercado interior (Directiva sobre el comercio elec- 
trónico). 

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comer- 
cio Electrónico (LSSICE). 

Directiva 1999/93/CE del parlamento europeo y del consejo, de 13 de diciembre de 
1999, por la que se establece un marco comunitario para la firma electrónica. 
R.D.Ley 14/1999, de 17 de septiembre, sobre Firma Electrónica. Derogada en marzo 
2004. 

Orden 21/02/2000 del M° Fomento Reglamento de acreditación de prestadores de 
servicios de certificación. 

Ley 59/2003, de 19 de diciembre, de Firma Electrónica (en vigor desde el día 20 de 
marzo). 


Referencias y lecturas complementarias 
Bibliografía 


Luis M. González de la Garza, "Comunicación pública en Internet", Creaciones Copyright, 


2004. 


Internet 


Navegación anónima 


Stay Invisible www.stayinvisible.com 


Privacy Analysis of your Internet Connection wWww.privacy.net/analyze 
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TOOLS-ON.NET - Network Tools 


¿Cómo funciona el proxy-caché de Telefónica? 


Dispositivos proxy-caché en Red IP 
de Telefónica de España 


Spyware 
Spyware Warrior Forums 


Spywarelnfo, the spyware and hijackware 
removal specialists 


Spychecker 


Computer Spy Monitoring, Anti-Spyware 
Software and Internet Security Solutions 
For Home And Business 


Cookies 


Criptonomicón 


Rastros 


Windows Media Player 9 Series Privacy 
Statement 
Secure Deletion of Data from Magnetic 
and Solid-State Memory 


LOPD 


La protección de Datos Personales (LOPD): 
Aplicación de la ley de protección de Datos 
Personales (LOPD) en los entornos 
de Microsoft - Libro electrónico en pdf 
y eBook 


Agencia Española de Protección de Datos 


tools-on.net 


wWwWw.caravantes.com/art103/ 
proxy2.htm 


www.telefonicaonline.com/on/es/ 
micro/adsl/proxycache/guias.htm 


spyWarewarri0r.com 


WWW.spywareinfo.com 


www.spychecker.com 


WWW.spy-monitoring-software.com 


wWWW.]ec.csic.es/criptonomicon/ 
cookies 


www.microsoft.com/windows/ 
windowsmedia/privacy/9splayer.aspx 
www.usen1x.org/publications/library/ 
proceedings/sec96/full_papers/ 
gutmann 


www.microsoft.com/spain/technet/ 
seguridad/otros/libro_lopd.asp 


www.agpd.es 
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Usar criptografía en Internet es el equivalente 
de contratar un furgón blindado para enviar 
información de tarjetas de crédito desde 
alguien que vive en una caja de cartones 

a alguien que vive en el banco de un parque. 


EUGENE SPAFFORD, "QUOTES CONCERNING COMPUTERS 
AND THE INTERNET" 
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ción o robo de datos sensibles, manipulación y alteración de documentos y transaccio- 

nes, interrupción en el acceso a los mismos o su total destrucción por causas naturales 
o humanas. Los tres principios fundamentales de la gestión de la seguridad, a saber, 
confidencialidad, integridad y disponibilidad, denominados a menudo la tríada CID 
(Confidentiality, Integrity, Availability o CIA en inglés), tienen como objetivo implantar los 
mecanismos necesarios para salvaguardar la información frente a todo tipo de ataques y 
amenazas. Todo sistema de seguridad deberá por tanto garantizar los tres principios del CID: 


l os activos de información se encuentran expuestos a innumerables peligros: revela- 


Confidencialidad: La información debe ser accesible únicamente a las personas au- 

torizadas. 

Integridad: La información debe mantenerse completa (íntegra) y libre de manipula- 

ciones fortuitas o deliberadas, de manera que siempre se pueda confiar en ella. 

8 Disponibilidad: La información debe ser accesible siempre que se la necesite, duran- 
te todo el tiempo que haga falta. 


D> 


En este capítulo se explican en detalle cada uno de los conceptos del CID, los requisitos 
de seguridad que imponen, cómo implantarlos en una red y las amenazas frente a las cuales 
protegen. Tal y como se irá viendo a lo largo del libro, los tres principios del CID constituyen 
el rasero por el que medir toda solución de seguridad. Las vulnerabilidades y riesgos también 
se evalúan en función de la amenaza que suponen para uno o más principios del CID. Por 
tanto, resulta fundamental familiarizarse y comprender a fondo los conceptos del CID, ya 
que se utilizan como guía de evaluación de todas las cuestiones relacionadas con la seguri- 
dad de la información. (Véase Figura 3.1.) 

Además de la tríada CID existen otros muchos conceptos y principios de seguridad que 
serán asimismo manejados profusamente a lo largo del libro. No son menos importantes y 
por tanto también deberán considerarse al diseñar una política de seguridad o implantar una 
solución de seguridad. Algunos de estos conceptos que serán introducidos en este mismo 
capítulo incluyen: autenticación, autorización, auditoría y no repudio. Por último, el capítulo 
se cerrará con una sección sobre los certificados digitales y las firmas electrónicas. Se trata 
de una introducción básica que resultará de gran utilidad para comprender buena parte de los 
mecanismos de seguridad a implantar en este y otros capítulos del libro. 


Confidencialidad 


Seguridad 
de la 
información 


Integridad Disponibilidad 


Figura 3.1. Los principios fundamentales de la seguridad: confidencialidad, integridad y 
disponibilidad. 
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Todos los mecanismos descritos en este capítulo y desarrollados en futuros capítulos, en 
concreto los destinados a alcanzar la confidencialidad, disponibilidad e integridad de la 
información, así como los controles de acceso basados en la autenticación y autorización, la 
generación de rastros de auditoría y el no repudio, todos ellos deben considerarse siempre 
dentro del contexto de seguridad de la organización. Resulta absurdo intentar garantizar a 
toda costa la confidencialidad en todas las comunicaciones de la organización: sólo tiene 
sentido hacerlo en aquellas que transmitan datos secretos. Igualmente, resulta desproporcio- 
nado asegurar la disponibilidad al 100% de todos los equipos de la organización, servidores 
y puestos de trabajo: debe garantizarse en los equipos críticos y no al 100%, sino a un nivel 
aceptable, que puede ser el 99%. 

Del mismo modo, no se requerirá el mismo nivel de control de acceso en un equipo de 
sobremesa público utilizado por los empleados para navegar por Internet que en el servidor 
de base de datos con toda la información crítica de la organización. Como puede verse, 
diferentes contextos exigen la aplicación de medidas de seguridad diversas y con un nivel 
variable. La consecución del CID a toda costa para todos los datos y comunicaciones carece 
de todo sentido. Habrá que garantizar el CID solamente para la información crítica o más 
sensible. En otros contextos, las medidas de seguridad pueden relajarse o incluso estar au- 
sentes. El CID no es más que una referencia que puede ayudar a alcanzar los objetivos de 
seguridad de la organización, pero nunca debe constituir un fin en sí mismo. 

En este capítulo se abordarán los siguientes temas: 


Confidencialidad en el transporte y almacenamiento de los datos. 


Â Integridad en el transporte y almacenamiento de los datos. 
A Disponibilidad de los servicios y de la información ante todo tipo de contingencias 
~ del entorno, del hardware o de las aplicaciones. 
Otros conceptos de seguridad: autenticación, autorización, auditoría y no repudio. 
§ Los certificados digitales y las firmas electrónicas. 
Confidencialidad 


El objetivo de la confidencialidad consiste en garantizar que los datos, objetos y recursos 
solamente pueden ser leídos por sus destinatarios legítimos. Los datos o bien se encuentran 
almacenados en algún tipo de soporte físico (memoria, disco duro, disquete, CD-ROM, cinta 
de backup, etc.) o bien se encuentran en tránsito entre dos equipos a través de una red de 
comunicaciones. Ambos estados de los datos, objetos y recursos requieren controles de segu- 
ridad únicos y específicos. 

Entre los ataques más frecuentes contra la confidencialidad se pueden citar: 


Los sniffers de red: Estos programas capturan todo el tráfico que circula por una red. 
Toda información que no se encuentre cifrada, será conocida por el atacante. 
El funcionamiento de los sniffers se explica en el Capítulo 4. 

El acceso no autorizado a archivos: Cuando no existe o está mal configurado el 

control de acceso a los recursos, personas no autorizadas podrán acceder a los datos. 

El control de acceso al sistema de archivos se cubre en la sección sobre fortaleci- 

miento del sistema operativo del Capítulo 5. 

8 El acceso remoto no autorizado a bases de datos: A menudo, los atacantes explotan 
errores de configuración en el control de acceso a la base de datos o fallos en las 
aplicaciones que actúan de interfaz entre el usuario y la base de datos. El resultado 
final es el acceso indiscriminado a la información confidencial almacenada en la 
misma. La seguridad en aplicaciones como las bases de datos se trata en la sección 
sobre fortalecimiento de aplicaciones del Capítulo 5. 
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Las contramedidas más utilizadas para salvaguardar la confidencialidad frente a estas y 
otras posibles amenazas son: 


D> 


D> 


Cifrado de datos: Garantiza que la información no es inteligible para individuos, 
entidades o procesos no autorizados. Consiste en transformar un texto en claro me- 
diante un proceso de cifrado en un texto cifrado, gracias a una información secreta o 
clave de cifrado. Cuando se emplea la misma clave en las operaciones de cifrado y 
descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas 
son muy rápidos, resultando apropiados para funciones de cifrado de grandes volú- 
menes de datos o de información en tiempo presente, como transmisión de vídeo o 
voz. Los algoritmos de clave secreta más utilizados son DES, Triple DES, RC4, RC5 
y AES. Cuando se utiliza una pareja de claves para separar los procesos de cifrado y 
descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, 
la privada, se mantiene secreta, mientras que la segunda clave, la pública, debe ser 
conocida por todos. El sistema tiene la propiedad de que a partir del conocimiento de 
la clave pública no es posible determinar la clave privada. Los criptosistemas de 
clave pública, aunque más lentos que los simétricos, resultan adecuados para las 
funciones de autenticación, distribución de claves y firmas digitales. El algoritmo de 
clave pública más utilizado es RSA. El cifrado de datos durante su almacenamiento y 
durante su transporte se trata más adelante en esta misma sección. (Véase Figura 3.2.) 
Autenticación de usuarios: Asegura la identidad de los sujetos participantes en una 
comunicación o sesión de trabajo, mediante contraseñas, biometría (huellas dactilares, 
identificación de retina, etc.), tarjetas inteligentes o de banda magnética, o procedi- 
mientos similares. La ventana de inicio de sesión del sistema operativo en la que se 
solicitan las credenciales de usuario (nombre y contraseña) constituye el ejemplo 
más conocido de autenticación mediante contraseñas. Los datos almacenados en un 
equipo no siempre se encuentran cifrados. Por este motivo, es imprescindible autenticar 
correctamente a los usuarios para decidir quién tiene acceso a la información confi- 
dencial, cifrada o no. La autenticación se introduce en la sección “Otros conceptos de 
seguridad” de este mismo capítulo y se explica cómo configurarla en el Capítulo 5. 
Autorización de usuarios: Una vez que la identidad del sujeto ha sido correctamente 
verificada, debe dotársele de privilegios para poder efectuar ciertas operaciones con 
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Figura 3.2. Algoritmos de cifrado de clave secreta o simétrica (superior) y de clave 


pública o asimétrica (inferior). 
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los datos, objetos y recursos protegidos, tales como leerlos, modificarlos, crearlos, 
borrarlos, imprimirlos, etc. Las listas de control de acceso (Access Control List o 
ACL) sobre archivos en el sistema de archivos NTFS constituyen el ejemplo más 
conocido de autorización. La autorización resulta fundamental para garantizar la 
confidencialidad, ya que permite asignar privilegios de acceso a los usuarios 
autenticados, de manera que no todos pueden acceder a los mismos recursos ni reali- 
zar sobre ellos las mismas operaciones. Los conceptos básicos de autorización se 
introducen en la sección “Otros conceptos de seguridad” de este mismo capítulo y se 
explica cómo implantar un control de acceso adecuado en el Capítulo 5. 

8 Clasificación de datos: No todos los datos poseen los mismos niveles de privacidad, 
sensibilidad o confidencialidad. Algunos datos requieren más seguridad que otros. 
Por consiguiente, debe destinarse un mayor esfuerzo e inversión a proteger los datos 
más importantes, mientras se relajan los controles sobre datos menos sensibles. La 
clasificación de datos ayuda a determinar cuánto esfuerzo, dinero y recursos deben 
destinarse para proteger los diferentes tipos de datos y controlar su acceso. En el 
sector privado, la clasificación de datos típicamente consta de cuatro niveles, ordena- 
dos de mayor a menor seguridad requerida: confidencial, aplicado a información 
cuyo uso por personas no autorizadas puede suponer un importante daño a la organ1- 
zación; sensible o restringido, aplicado a información cuya utilización por personas 
no autorizadas iría contra los intereses de la organización y/o sus clientes; privado o 
de uso interno, para datos que no necesitan ningún grado de protección para su 
difusión dentro de la organización; y público, para datos que no necesitan ningún 
grado de protección para su difusión. Las obligaciones legales en el tratamiento de 
datos de carácter personal fueron tratadas en el Capítulo 2. 


La confidencialidad de la información es tan importante que se volverá sobre ella en 
numerosas ocasiones a lo largo de este libro, al tratar la protección de redes y equipos. Por el 
momento, en este capítulo se abordarán los siguientes aspectos: la confidencialidad en el 
almacenamiento de datos y la confidencialidad en el transporte de datos. Ahora bien, el 
hecho de que se explique cómo cifrar archivos o comunicaciones no significa que deba ha- 
cerse siempre para todos los archivos y para todas las comunicaciones. Debe evaluarse a qué 
amenazas están sometidos los activos de información e implantar las medidas de seguridad 
en consecuencia. La confidencialidad no debe buscarse indiscriminadamente para todo tipo 
de información, sino solamente allí donde hace falta. Una buena política de seguridad deberá 
identificar en qué áreas se requiere y con qué expectativas. La seguridad debe definirse 
siempre dentro de un contexto. Por ejemplo, en un equipo de un empleado que no maneja 
información sensible puede que sólo deba asegurarse la confidencialidad de las contraseñas, 
mientras que a lo mejor en el portátil de un ejecutivo que viaja a menudo con información 
privilegiada de la empresa deben cifrarse los contenidos completos de su disco duro. 


Confidencialidad en el almacenamiento de datos 


¿Qué ocurre si alguien le roba en el aeropuerto su portátil donde almacena información 
altamente sensible de su empresa? ¿O si un intruso o un empleado desleal roba de la oficina 
el disco duro del ordenador que contenía las listas de clientes y planes de negocio para el 
próximo semestre? Puede pensar que no conocen la contraseña de acceso para iniciar sesión. 
Es cierto, pero no hace falta para acceder a los archivos del disco robado. También puede 
pensar que el hecho de que sus archivos estén protegidos por listas de control de acceso y 
permisos NTFS detendrá al atacante. Tampoco eso servirá de nada. Sin ir más lejos, los 
controladores (drivers) para NTFSDOS y NTFS para Linux ignoran por completo los permi- 
sos NTFS. Ante este panorama, un buen procedimiento para protegerse contra estas adversi- 
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dades consiste en cifrar siempre sus archivos confidenciales. De esta manera, si sus archivos 
resultasen accidental o deliberadamente accesibles a personas no autorizadas, aun así no 
podrán leerse sin el conocimiento de la clave de cifrado utilizada para protegerlos. 


Herramientas de cifrado de archivos 


Para este tipo de aplicaciones se utilizan algoritmos de cifrado simétrico, también conocidos 
como algoritmos de clave secreta. Como su nombre indica, la clave de cifrado debe mante- 
nerse celosamente guardada. En la medida en que el algoritmo de cifrado empleado sea 
criptográficamente seguro, no habrá forma de descifrar los datos sin la clave secreta. Una 
regla importante de la seguridad recuerda que nunca debe desarrollarse un algoritmo propio, 
porque estará ineludiblemente abocado al más estrepitoso fracaso. 

Existen algoritmos de eficacia y seguridad probada, algunos de los cuales han venido 
utilizándose desde hace lustros: DES, Triple DES, IDEA, AES, RC4, RCS5, Blowfish, etc. 
Utilice siempre en sus aplicaciones estos algoritmos y desconfíe de la propaganda de compa- 
ñías de software que pretendan venderle aceite de serpiente. 

Existen multitud de herramientas, tanto comerciales como de libre distribución, que tie- 
nen la misión de cifrar la información contenida en todo o parte del disco duro. Evidente- 
mente, se produce una gran dispersión en la robustez y seguridad ofrecidas por las diferentes 
soluciones. Algunas utilizan algoritmos propietarios, inventados por la propia compañía, 
por tanto de dudosa seguridad. Otros sí que utilizan algoritmos criptográficamente robustos 
de entre los citados anteriormente, pero con longitudes de clave insuficientes. O bien utili- 
zan esquemas deficientes de gestión de claves, basados en proteger las claves de cifrado por 
una contraseña introducida por el usuario: típicamente, los usuarios tienden a utilizar con- 
traseñas fáciles de recordar (y por tanto de adivinar mediante ataques de diccionario y de 
fuerza bruta) y lo que a veces es peor, utilizan la misma contraseña para proteger todos los 
archivos. Por tanto, para un funcionamiento seguro, el usuario se ve obligado a recordar 
numerosas contraseñas muy complejas para proteger otras tantas claves de cifrado. Este re- 
quisito resulta engorroso y difícil de gestionar con el tiempo. El usuario podría olvidar alguna 
de las claves, con lo que toda la información protegida con ella se perdería irremisiblemente. 


Existen utilidades que precisamente resuelven el problema de cómo recordar docenas de contraseñas. 
Se almacenan todas ellas custodiadas por un programa y éste se protege con una única contraseña 
robusta. Así sólo debe recordarse la contraseña que protege el programa y no todas las demás. Una de 
las soluciones más seguras y además gratuita es Password Safe (sourceforge.net/projects/ 
passwordsafe). 


Además, un inconveniente de orden práctico que presentan estas herramientas de cifrado 
de archivos, por muy seguras que sean, es que cada vez que se accede al archivo hay que 
descifrarlo antes. Cuando se termina de trabajar con el archivo, hay que volver a cifrarlo. No 
es de extrañar que tanto cifrar y descifrar el mismo archivo, a veces uno se olvide de volverlo 
a cifrar cuando ya terminó de trabajar con él. 

Tradicionalmente, uno de los programas más utilizados para esta aplicación ha sido PGP 
(o su versión con licencia GNU conocida como GPG). Debe su fama a su uso en especial para 
el envío de correos electrónicos cifrados y/o firmados. PGP/GPG cifran archivos o el conte- 
nido del portapapeles, lo que luego se pega en el cuerpo del mensaje que se está redactando. 
Más adelante, al tratar el tema del cifrado de mensajes de correo electrónico, se describe con 
más detalle el funcionamiento de PGP. 

Buena parte de los problemas de este tipo de herramientas de cifrado de archivos o carpe- 
tas individuales se soluciona utilizando un sistema de archivos cifrado, totalmente transpa- 
rente para el usuario. 
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Noy Si su objetivo es que nadie pueda leer un archivo cifrado sin conocer la clave, entonces nunca utilice 
las opciones de cifrado de programas como Word, Excel o PowerPoint, porque se saltan con facilidad 
pasmosa. Utilice en su lugar las herramientas descritas a continuación. 


El sistema de archivos de cifrado de Windows (EFS) 


Desde el lanzamiento de Windows 2000 y versiones posteriores del sistema operativo, los 
usuarios disponen del sistema de archivos de cifrado (Encrypting File System o EFS), que 
resuelve todas las limitaciones e inconvenientes de los programas anteriores. EFS ofrece una 
solución altamente segura, integrada con el sistema de archivos, totalmente transparente 
para el usuario y con la capacidad de recuperar datos cifrados. EFS se basa en el uso de 
criptografía de clave pública y de algoritmos de cifrado simétrico de reconocido prestigio 
entre la comunidad criptográfica mundial, resultando muy apropiado para empresas y parti- 
culares con requisitos de seguridad convencionales. 

Con EFS se pueden cifrar bien archivos individuales, bien carpetas enteras con todos sus 
archivos y subcarpetas de forma recursiva. Para cifrar un archivo o carpeta han de seguirse 
los siguientes pasos: 


1. Seleccione el archivo o carpeta y haga clic sobre él con el botón secundario del ratón. 

2. Seleccione Propiedades en el menú contextual. 

3. En la ficha General, pulse el botón Opciones avanzadas. 

4. En la sección Atributos de compresión y cifrado, verifique la casilla Cifrar conte- 
nido para proteger datos. 

5. Pulse Aceptar dos veces. 

6. Se le preguntará si desea cifrar sólo el archivo o también la carpeta que lo contiene. 


Elija la opción adecuada y pulse Aceptar dos veces. 


Puede añadir la opción de Cifrar al menú contextual del Explorador de Windows para no tener que 
repetir todos esos pasos cada vez que desee cifrar un archivo. Abra el Registro seleccionando 
Inicio>Ejecutar y escriba “regedit”. Seleccione la clave HKEY_LOCAL_MACHINE Software! 
MicrosoftlWindows|CurrentVersionlExplorerlAdvanced y cree un nuevo valor DWORD llamado 
EncryptionContextMenu, al que debe asignar el valor 1. En adelante, cuando haga clic con el botón 
secundario del ratón sobre una carpeta o archivo, aparecerá la opción Cifrar en el menú contextual. 


Así de sencillo resulta proteger archivos y carpetas con EFS. Observará que el nombre 
del archivo o carpeta cambia a color verde, como indicativo visual de que sus contenidos se 
encuentran cifrados. A partir de este momento, puede trabajar con sus archivos de forma 
normal, haciendo doble clic sobre ellos para abrirlos o ejecutarlos o abriéndolos desde otras 
aplicaciones. EFS se encarga de descifrarlo antes de pasarlo a la aplicación correspondiente. 
Cuando haya terminado de trabajar con ellos o cada vez que pulsa el botón Guardar o simi- 
lar, el archivo queda cifrado en el disco. Como puede verse, la transparencia de cara al usuario 
es total. Si otro usuario inicia una sesión en el mismo ordenador con otra cuenta, aunque 
tenga permiso para listar el archivo, si lo intenta abrir recibirá un mensaje de error (“Acceso 
denegado”) porque está cifrado y desconoce la clave para descifrarlo. (Véase Figura 3.3.) 

Más de un lector se estará preguntando: ¿Qué clave utiliza EFS? ¿Cómo es posible que 
los archivos estén cifrados de manera segura si por ningún sitio se ha indicado clave alguna? 
Para responder a estas preguntas se vuelve necesario comprender el funcionamiento interno 
de EFS. Para cifrar el contenido de los archivos EFS utiliza algoritmos simétricos o de clave 
secreta como DESX o TripleDES. Cada vez que se cifra un archivo, EFS genera para la tarea 
una clave aleatoria llamada clave de cifrado de archivo (File Encryption Key o FEK). Ahora 
surge el problema de qué hacer con la clave, porque cualquiera que pueda verla podrá desci- 
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Figura 3.3. El sistema de archivos de cifrado de Windows (EFS) ofrece seguridad y 
transparencia en el cifrado de archivos. 


frar el archivo. La solución adoptada por EFS consiste en cifrarla con la clave pública del 
usuario y almacenarla así cifrada junto al archivo cifrado. De esta forma, sólo el conocedor 
de la clave privada correspondiente a la clave pública será capaz de descifrar la FEK y con 
ella el archivo. ¿Por qué no se cifra el archivo directamente con la clave pública del usuario? 
Por motivos de rendimiento: los algoritmos de clave secreta como DESX son muy rápidos y 
por tanto adecuados para cifrar grandes archivos. No así los algoritmos de clave pública, que 
por ser tan lentos sólo resultan apropiados para cifrar un volumen pequeño de datos, como 
por ejemplo una clave de 128 bits para DESX o de 168 bits para TripleDES. Esta pareja de 
claves pública y privada se crea automáticamente la primera vez que el usuario cifra un 
archivo y se almacena de forma segura en su almacén de certificados. El utilizar un algorit- 
mo u otro se configura en la Directiva de seguridad local: 


1. Seleccione Inicio>Herramientas administrativas>Directiva de seguridad local. 
Puede que este menú no aparezca ahí. En tal caso, configúrelo para que así sea: haga 
clic con el botón secundario del ratón sobre la barra de tareas y seleccione Propieda- 
des. Seleccione la pestaña Menú Inicio y pulse el botón Personalizar. Seleccione la 
pestaña Opciones avanzadas y en el cuadro de lista Opciones del menú Inicio, en 
el grupo Herramientas administrativas del sistema, seleccione la opción Mostrar 
en el menú Todos los programas y en menú Inicio. 

2. Una vez abierta la ventana de configuración de seguridad local, seleccione el nodo 
Configuración de seguridad>Directivas locales>Opciones de seguridad. 

3. En el panel de la derecha, haga doble clic sobre Codificación de sistema: use 
algoritmos compatibles FIPS para codificación, algoritmos hash y firmas. 

4. Seleccione Habilitada y pulse Aceptar. (Véase Figura 3.4.) 


Para cada archivo cifrado con EFS se crea un atributo especial llamado SEFS que contie- 
ne una serie de campos de descifrado de datos (Data Decryption Field o DDF). Cada campo 
DDF almacena la clave FEK utilizada para cifrar el archivo, a su vez cifrada con la clave 
pública de cada usuario autorizado a descifrarla. En principio, un archivo cifrado contendrá 
un único campo DDE, con la clave FEK cifrada con la clave pública del usuario que cifró el 
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Figura 3.4. Consola de administración de la configuración de seguridad local y 
propiedades de codificación de sistema. 


archivo. Pero se pueden crear anillos de usuarios, de manera que sean varias las personas 
que pueden descifrar un mismo archivo. Para ello, por cada persona que se añade al anillo, se 
crea un nuevo campo DDF con la clave FEK del archivo cifrada con su clave pública corres- 
pondiente. Para agregar nuevos usuarios al anillo: 


1. Haga clic con el botón secundario del ratón sobre el archivo o carpeta cifrados y 
seleccione Propiedades. 

2. En la ficha General, pulse el botón Opciones avanzadas. 

3. En la sección Atributos de compresión y cifrado, pulse el botón Detalles. 

4. Pulse el botón Agregar y aparecerá una ventana desde la cual puede seleccionar 
nuevos usuarios. Seleccione uno de la lista y pulse Aceptar. 

5. Repita la operación para agregar tantos usuarios como necesite. 

6. Pulse Aceptar tres veces. 


Hasta ahora se ha visto cómo uno o varios usuarios pueden cifrar archivos y carpetas de 
forma transparente, valiéndose de una combinación de criptografía de clave pública y secre- 
ta. El usuario se desentiende de los entresijos criptográficos y de la gestión de claves. La 
única contraseña que necesita recordar es la de inicio de sesión en el equipo. ¿Y qué ocurre 
si la olvida? ¿O si se marcha de la empresa y no la revela a nadie? ¿O se muere? ¿O si por 
algún fallo del disco duro pierde su clave privada? En tales casos, si no se agregó ningún otro 
usuario al anillo autorizado para descifrar los archivos y carpetas cifrados por dicho usuario, 
la información se pierde para siempre. No sirve de nada que el administrador cambie la 
contraseña del usuario. El truco no funcionará y no habrá forma de recuperar los datos. 

Afortunadamente, EFS prevé esta posibilidad, por lo que incorpora directivas de recupe- 
ración que permiten designar a uno o varios agentes de recuperación de claves. Estos agen- 
tes son personas autorizadas para descifrar la información cifrada por otros usuarios, incluso 
aunque no hayan sido añadidos al anillo. Cada agente tiene su propia pareja de claves públi- 
ca y privada. Si se instala la directiva de recuperación en una empresa, cada archivo cifrado 
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almacenará en el atributo $EFS un campo de recuperación de datos (Data Recovery Field o 
DRF), que contiene la clave FEK utilizada para cifrar el archivo, cifrada a su vez con la clave 
pública del agente. Si en la directiva se han creado varios agentes, entonces se añadirán 
tantos campos DRF como agentes distintos hayan sido dados de alta. Cada uno de ellos 
podrá descifrar los contenidos del archivo cifrado. 

De manera predeterminada, el administrador de un equipo local o de un dominio es el 
único agente de recuperación existente. Sin embargo, pueden crearse tantos agentes de recu- 
peración como se desee a través de la consola de administración de directivas de grupo: 


Nh uy IN 


9. 
10. 
11. 


Seleccione Inicio>Ejecutar. 

En la ventana Ejecutar escriba “mmc” y pulse Aceptar. 

Seleccione Archivo>Agregar o quitar complemento. 

Pulse el botón Agregar. 

En la lista Complementos independientes disponibles, seleccione Directiva de grupo 
y pulse Agregar. 

Verifique que el objeto de directiva de grupo seleccionado es Equipo local y pulse 
Finalizar. 

Pulse Cerrar y a continuación Aceptar. Se acaba de crear la nueva consola. 
Seleccione el nodo Directiva Equipo local>Configuración del equipo> Configu- 
ración de Windows>Configuración de seguridad>Directivas de claves públicas> 
Sistema de archivos de cifrado. 

Seleccione Acción>Agregar Agente de recuperación de datos. (Véase Figura 3.5.) 
Se inicia el asistente que le guiará durante el proceso. Pulse Siguiente. 

Seleccione uno o más usuarios para que actúen como agentes de recuperación. 


Conviene mantener una copia de seguridad de las claves pública y privada de los agentes 
de recuperación de datos: 
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3.5. Consola de administración de Directiva de Equipo local. 
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Seleccione Inicio>Ejecutar. 

En la ventana Ejecutar escriba “mmc” y pulse Aceptar. 

Seleccione Archivo>Agregar o quitar complemento. 

Pulse el botón Agregar. 

En la lista Complementos independientes disponibles, seleccione Certificados y 
pulse Agregar. 

Seleccione Mi cuenta de usuario y pulse Finalizar. 

Pulse Cerrar y a continuación Aceptar. Se acaba de crear la nueva consola. 

En Certificados: usuario actual seleccione el nodo Personab Certificados. 

Haga clic en el certificado que muestra las palabras Recuperación de archivos en la 
columna Propósitos planteados. 


. Haga clic con el botón secundario del ratón en el certificado y seleccione Todas las 


tareas>Exportar. (Véase Figura 3.6.) 

Se inicia el Asistente para exportación de certificados. Pulse Siguiente. 
Seleccione Exportar la clave privada, ya que sin ella no se puede descifrar las 
claves FEK utilizadas para cifrar archivos. Pulse Siguiente. 

Asegúrese de que se encuentra verificada la casilla Permitir protección segura (re- 
quiere IE 5.0, Windows NT 4.0 con SP4 o posterior). Pulse Siguiente. 

Se le pide que introduzca una contraseña para proteger la clave privada. No olvide 
jamás esta contraseña o volvería a las mismas. Pulse Siguiente. 

Seleccione un nombre y una ubicación para el archivo con las claves pública y priva- 
da. Pulse Siguiente. 

Pulse Finalizar y se creará el archivo. Una ventana le avisará de que la exportación 
se ha realizado con éxito. Debe almacenar este archivo en un lugar seguro y acordar- 
se de la contraseña. Utilice un disquete o un CD-ROM o, si se lo puede permitir, una 
tarjeta inteligente protegida mediante un PIN. También puede repetir este mismo 
proceso para exportar los certificados de los usuarios. En cualquier caso, lo que nun- 
ca puede dejar de hacer es exportar las claves de los agentes de recuperación. En la 
sección “Firmas electrónicas y certificados digitales” más adelante en este capítulo 
se explican algunas formas seguras de almacenar sus certificados digitales. 


Por último, siempre que trabaje con carpetas y archivos cifrados debe tener en cuenta las 
siguientes restricciones: 


D> 


D> 


Las carpetas o archivos comprimidos no se pueden cifrar. Si el usuario marca una 
carpeta o un archivo para su cifrado, se descomprimirá. 

Los archivos cifrados se pueden descifrar si se copian o se mueven a un volumen que 
no sea NTFS. 

Al mover archivos descifrados a una carpeta cifrada, éstos se cifrarán automática- 
mente en la nueva carpeta. Sin embargo, la operación inversa no descifra los archi- 
vos automáticamente. Los archivos deben descifrarse explícitamente. 

Los archivos marcados con el atributo “Sistema” no se pueden cifrar, así como tam- 
poco los archivos del directorio raíz del sistema. 

El hecho de cifrar una carpeta o un archivo no impide su eliminación ni su enumera- 
ción. Cualquier usuario con los permisos NTFS adecuados puede eliminar o enume- 
rar carpetas o archivos cifrados, aunque no podrá abrirlos. Por este motivo, se 
recomienda utilizar EFS en combinación con las listas de control de acceso de NTES, 
explicadas en la sección “Fortalecimiento del sistema operativo” del Capítulo 5. 

Es posible cifrar o descifrar archivos y carpetas de un equipo remoto si éste permite 
el cifrado remoto. No obstante, si abre el archivo cifrado a través de la red, los datos 
que se transmiten durante este proceso no se cifran. Para cifrar los datos de transmi- 
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Figura 3.6. Consola de administración de certificados. 


sión deben utilizarse otros protocolos, como SSL o IPSec. El cifrado de datos durante 
su transporte se trata más adelante en la sección “Confidencialidad en el transporte 
de datos” y en la sección “Redes privadas virtuales” del Capítulo 4. 


Herramientas de línea de comando para EFS 


Hasta ahora se ha explicado cómo utilizar EFS de forma gráfica mediante el explorador de 
Windows. Pero también se puede trabajar con EFS a través de la línea de comandos, median- 
te la herramienta cipher. 

La ejecución del comando 


cipher /? 


lista todos los parámetros que acepta, junto con su acción asociada, y algunos ejemplos 
de uso. 

Sysinternals Freeware ha publicado una herramienta de línea de comandos gratuita que 
permite ver qué usuarios tienen acceso a un archivo cifrado: EFSDump, que puede descar- 
garse junto con su código fuente desde www.sysinternals.com/ntw2k/source/misc.shtml. 


Limitaciones de EFS y posibles soluciones 


El sistema de archivos de cifrado supone un gigantesco paso adelante en la seguridad del 
almacenamiento de datos en entornos Windows. Sin embargo, cuando se utilice, se debe ser 
muy consciente de una serie de limitaciones de EFS que no pueden pasarse por alto: 


Cuando EFS se dispone a cifrar un archivo, primero copia sus contenidos a un archi- 
vo temporal llamado efs0.tmp creado en la misma carpeta. A continuación, va cifran- 


D> 


D> 
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do el contenido de efs0.tmp y copiándolo en el archivo original, cuyos contenidos 
sobrescribe. Una vez terminado el proceso, se borra el archivo temporal, pero como 
ya se explicó en el Capítulo 2, los contenidos del archivo temporal no son destruidos, 
sino que el archivo simplemente se marca como borrado, lo que hace posible su 
recuperación con las herramientas forenses adecuadas. Para eliminar cualquier ras- 
tro del archivo en claro, debe utilizarse alguna de las herramientas de la Tabla 2.9 
para sobrescribir todo el espacio libre del disco. 

Como ya se ha mencionado, los nombres de los archivos cifrados no están cifrados, 
por lo que cualquier usuario puede examinar las carpetas cifradas y sus contenidos. 
A menudo, el mero hecho de ver los nombres de carpetas y archivos ya puede revelar 
información suficiente a un atacante. Una solución a este problema consiste en com- 
primir en zip todas las carpetas cifradas. Sitúese sobre la carpeta que se encuentra en 
la raíz de la estructura de carpetas y haga clic sobre ella con el botón secundario del 
ratón. Seleccione Enviar a>Carpeta comprimida (en zip). A continuación cifre el 
archivo zip recién generado y borre las carpetas en claro. Para borrarlas asegúrese de 
que utiliza una de las herramientas de la Tabla 2.9. Windows XP/2003 trata las 
carpetas comprimidas en zip de manera casi idéntica a las carpetas normales, por lo 
que no tendrá problema en trabajar con ellas. 

Cuando se cifra/descifra un archivo, sus datos pueden quedar almacenados tempo- 
ralmente en el archivo de paginación del sistema. Aunque este archivo no se puede 
acceder directamente mientras el sistema está en uso, si se arranca el ordenador con 
otro sistema operativo sí que podrían editarse sus contenidos. Para evitar esta even- 
tualidad, se puede configurar el equipo para que destruya el archivo de paginación 
cuando se cierra el sistema. Abra la consola de administración Directiva de grupo y 
seleccione Directiva Equipo local>Configuración del equipo>Configuración de 
Windows>Configuración de seguridad>Directivas locales>Opciones de seguri- 
dad. Haga doble clic sobre la directiva Apagado: borrar el archivo de páginas de 
la memoria virtual. Seleccione la opción Habilitada y pulse Aceptar. 

Toda la seguridad de EFS reposa sobre la criptografía de clave pública. En última 
instancia depende de la seguridad del almacenamiento de la clave privada. Se ha 
afirmado que esta clave se almacena de manera segura, pero más de un lector se 
preguntará cuán segura resulta en la práctica. Windows almacena las claves privadas 
en la carpeta CADocuments and Settings1<nombreusuario>— Datos de programal 
MicrosoftiCryptoRSA. Evidentemente, no se pueden almacenar en claro, lo cual 
abriría un tremendo agujero de seguridad, sino que se cifran mediante el algoritmo 
RC4 con una clave aleatoria de 128 bits, llamada clave maestra de usuario. Esta 
clave se renueva periódicamente y se utiliza para cifrar todos los contenidos de la 
carpeta RSA. La clave maestra de usuario es a su vez cifrada mediante la API de 
Protección de datos (Data Protection API o DPAPI) y almacenada en la carpeta 
C:\Documents and Settingsl<nombreusuarioDatos de programaMicrosoft Protect. 
La clave utilizada para esta operación se genera a partir de tres datos: la propia clave 
maestra de usuario, el SID de usuario y su contraseña de inicio de sesión. Por tanto, 
se llega a la conclusión de que la robustez de todo el sistema de archivos de cifrado 
descansa sobre la contraseña de inicio de sesión del usuario. Dado que estas contra- 
señas pueden ser débiles y fáciles de adivinar, si se desea incrementar la seguridad 
global de EFS puede utilizarse una clave maestra del sistema para cifrar todas las 
claves maestras de los usuarios. Esta clave maestra del sistema se debe almacenar en 
un disquete que deberá ser introducido cada vez que se inicie el sistema. Seleccione 
Inicio>Ejecutar, escriba “syskey” y pulse Aceptar. Seleccione Cifrado habilitado 
y pulse Actualizar. Seleccione Contraseña generada por el sistema y a continua- 
ción seleccione Almacenar la clave de inicio en un disco. Se le pedirá que inserte 
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un disquete en la unidad A: para guardar la clave de inicio. Hágalo y pulse Aceptar. 
Se copiará la clave en el disquete. Pulse Aceptar y retírelo. En el futuro, cada vez 
que reinicie el sistema se le pedirá que inserte el disquete. No debe dejarlo introduci- 
do en la disquetera, sino esperar a que se le pida. Una vez terminado el inicio del 
sistema, debe guardarlo en lugar seguro. 


Guía de mejores prácticas para el uso de EFS 


Cifre la carpeta raíz de su área de trabajo, típicamente “Mis documentos”, para ase- 

gurarse de que ningún otro usuario accede a sus archivos personales. 

A  Cifre la carpeta de archivos temporales de su carpeta personal (C:\Documents and 

Settingsi<nombreusuario>¡Configuración localTemp) y del sistema (CXAWindows| 

Temp). De esta forma, todos los archivos que se creen en estas carpetas estarán 

cifrados. 

Cifre carpetas en lugar de archivos individuales. Muchas aplicaciones crean archi- 

vos temporales, copias de seguridad, etc. en la misma carpeta que el archivo original. 

Si sólo cifra este archivo, el resto de archivos generados por la aplicación estarán en 

claro. Si se cifra la carpeta, todos los archivos que se creen en ella, temporales o no, 

estarán cifrados. 

Exporte siempre las claves privadas de las cuentas que actúan como agentes de recu- 

peración, almacénelas en un lugar seguro y bórrelas del sistema. Si alguien roba o 

penetra en el equipo, como las claves privadas de los agentes de recuperación ya no 

están en él, no podrá usar sus cuentas para descifrar archivos. 

Nunca utilice las cuentas de los agentes de recuperación para otro propósito distinto 

de recuperar archivos cifrados. 

No destruya los certificados ni claves privadas de los agentes de recuperación aunque 

hayan caducado. 

Nunca elimine, cambie de lugar, ni renombre la carpeta “RSA” porque es el único 

lugar en el que EFS busca las claves privadas. 

8 Configure la clave maestra de sistema en ordenadores autónomos que no son miem- 
bros de un dominio para proteger las claves privadas de los usuarios. 


D> 


D> 


> © 


Alternativas a EFS 


Existen otras soluciones comerciales como alternativa al sistema de archivos cifrado EFS, 
basadas en el uso de discos duros virtuales. Se comportan como una unidad lógica a la que se 
asigna un nombre de unidad (como D:, H: o Z:), pero físicamente se trata de un archivo, 
llamado contenedor (a veces en inglés se le llama safe o caja fuerte), que almacena todos los 
archivos y carpetas que se cifren. Este archivo se puede copiar en un CD o DVD o cualquier 
otro dispositivo de almacenamiento externo para hacer copias de seguridad o para llevarlo 
de un sitio a otro. Una vez que el disco virtual se monta, conociendo la contraseña se puede 
acceder a su contenido. Todo el contenido del disco virtual se cifra automáticamente, sin 
tener que preocuparse el usuario de estar cifrando/descifrando archivos individuales. Algu- 
nos de los productos más populares se listan en la Tabla 3.1. 


Discos duros cifrados 


Como se ha resaltado al hablar de las limitaciones del sistema de archivos de cifrado, aunque 
el contenido de los archivos se encuentra cifrado, con los permisos NTFS adecuados (o 
leyendo el disco desde otro sistema operativo) se pueden listar los nombres de carpetas y 
archivos. Además, EFS no cifra archivos de sistema. Más aún, quedan muchas carpetas 
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Tabla 3.1. Herramientas de cifrado del sistema de archivos. 
Nombre URL Descripción 
DriveCrypt wWww.securstar.com Producto comercial. 


Utiliza algoritmos de cifrado como 
AES, Blowfish, Tea 16, Tea 32, DES, 
Triple DES. Compatible con 
dispositivos hardware como tokens 
USB o tarjetas inteligentes. 
BestCrypt www.jetico.com Producto comercial. 
Utiliza algoritmos de cifrado como 
AES, Blowfish, Twofish y GOST. 
SafeGuard PrivateDisk www.utimaco.com Producto comercial, con dos 
versiones: pyme y particulares y 
grandes empresas. Utiliza AES y 
criptografía de clave pública. 


Dekart Private Disk www.dekart.com Producto comercial. 
Utiliza el algoritmo de cifrado AES. 
PGPDisk www.pgpi.org Freeware hasta la versión 6.02 para 
uso no comercial. Utiliza el algoritmo 
de cifrado CAST. 


temporales sin cifrar y otros archivos que usa el sistema o las aplicaciones y que conservan 
en ubicaciones peculiares. Si un ladrón roba un portátil con este tipo de cifrado, podrá usar el 
portátil aunque no pueda acceder a los contenidos de las carpetas cifradas, que a fin de 
cuentas sólo contienen datos de usuario, no de sistema. Para salvar estos problemas, también 
existe la posibilidad de cifrar discos completos con todo su contenido, sector por sector. 
Algunos productos permiten especificar incluso qué particiones deben cifrarse. El disco se 
protege además con autenticación previa al inicio (Pre-Boot Authentication o PBA) utilizan- 
do contraseñas almacenadas en dispositivos hardware externos seguros como tarjetas inteli- 
gentes o tokens. En la Tabla 3.2 se recogen algunos de los mejores productos del mercado. 

Desde el punto de vista hardware también existen dispositivos que cifran la información 
de forma transparente para el sistema operativo. De esta manera, se obtiene el medio cifrado 
sin necesidad de utilizar software alguno, ganándose en sencillez, rendimiento y seguridad. 
Suelen utilizar además dispositivos hardware externos de autenticación, como tokens USB 
(vea la Figura 3.18). En la Tabla 3.3 se listan algunas soluciones basadas completamente en 
hardware. 


Veo] Si viaja a menudo llevando un portátil con datos altamente sensibles, recurra siempre a una solución 
de cifrado de disco duro completo, por si le roban el portátil. También se venden mochilas para disimu- 
lar que se lleva un portátil dentro y no atraer la atención de ladrones. 


Confidencialidad en el transporte de datos 


De nada sirve que la confidencialidad de los datos se proteja en el equipo del cliente o en el 
equipo del servidor si luego se transmiten en claro a través de las redes de comunicaciones. 
Evidentemente, un atacante que buscase hacerse con ellos intentaría interceptarlos en tránsi- 
to, mientras viajan desde su ordenador a otro ordenador. El arma predilecta para este lance 
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Tabla 3.2. Herramientas comerciales de cifrado del disco duro. 


Nombre URL Descripción 


SecureDoc WWW.wInmagic.com Integración con dispositivos externos 
de autenticación (tarjetas inteligentes, 
tokens) en PRE-BOOT. Cifra el disco 
completo de manera transparente 
para el usuario. 

SafeBoot www.safeboot.com Distribuye diferentes versiones para grandes 
empresas, pequeñas empresas y particulares. 


Tabla 3.3. Cifrado de discos basado completamente en hardware. 


Nombre URL Descripción 

DiskAssurity www.articsoft.com Cifrado de disco transparente basado en 
hardware con token de autenticación. 

Guardisk www.thales-esecurity.com Cifrado transparente de todo el disco duro, 
incluido el sector de arranque. 

FlagStone www.stonewood.co.uk Permite reemplazar a las disqueteras de 2 1⁄2" 


y de 3 /". Todos los contenidos están 
protegidos por contraseña, que debe 
introducirse antes de arrancar el disco. 


es el sniffer, nombre a veces traducido como husmeador. Un sniffer es un programa o herra- 
mienta que monitoriza pasivamente (es decir, no modifica) todo el tráfico de una red (o como 
mínimo que recibe y envía el equipo donde reside el sniffer) en busca de información de 
interés, especialmente información de autenticación (nombres de usuario y contraseñas en 
claro) y otros datos sensibles: mensajes de correo, sesiones de navegación en bancos y tien- 
das de comercio electrónico, etc. 

De manera predeterminada, la información de autenticación y en general todo el conteni- 
do de la sesión de la mayoría de protocolos se transmite en claro, esto es, sin cifrar: Telnet y 
rlogin para conexión a terminales remotos, FTP para transferencia de archivos, SMTP para 
envío de mensajes de correo electrónico, HTTP para navegación por la Web, POP e IMAP 
para lectura de mensajes de correo, NNTP para mensajes de grupos de noticias (news), todo 
puede verse con un sniffer, siempre y cuando no hayan sido convenientemente cifrados. Los 
sniffers se tratarán en mayor profundidad en el Capítulo 4. Se explicará cómo funcionan, 
cómo detectarlos y cómo evitarlos. 

En este capítulo se tratarán los siguientes casos prácticos de protección de la 
confidencialidad en el transporte de datos: 


_ Confidencialidad en la navegación por Internet. 
A Confidencialidad en el envío y almacenamiento de mensajes de correo electrónico. 
8 Confidencialidad en otros protocolos que no soportan el cifrado de forma nativa. 


En la sección sobre fortalecimiento de aplicaciones del Capítulo 5 se ofrecen consejos 
sobre cómo proteger las comunicaciones a través de la mensajería instantánea. 
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Cifrado de los datos en el navegador 


El mejor mecanismo para proteger los datos durante su transporte consiste en cifrarlos. En 
este caso la autorización y la autenticación sirven de bien poco, ya que uno nunca sabe cuál 
será la ruta que seguirán los datos enviados. En cualquier punto intermedio del recorrido un 
atacante podría interceptar la información. Si no se ha tomado la precaución de cifrarla 
antes, entonces el atacante habrá logrado su objetivo de obtener los datos confidenciales. S1 
ha sido cifrada, entonces no podrá obtener ninguna información valiosa desconociendo la 
clave de cifrado empleada. 

El protocolo más extendido hoy en día para cifrar la información que viaja a través de 
Internet es SSL (Secure Sockets Layer). Se trata de un protocolo de propósito general para 
establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications 
Corporation junto con su primera versión del Navigator. SSL crea un canal blindado para 
transmitir los datos confidenciales desde el ordenador del cliente hasta el servidor Web. 

Hoy constituye la solución de seguridad implantada en la mayoría de los servidores Web 
que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un formu- 
lario con sus datos personales y los datos correspondientes a su tarjeta de crédito. Cuando 
pulsa el botón Enviar, puede tener la certeza de que nadie será capaz de fisgar en los datos 
mientras viajan hacia el servidor. 

En su estado actual, SSL proporciona los siguientes servicios de seguridad: 


Cifrado de datos: La información transferida se cifra utilizando un algoritmo de 

clave secreta, capaz de cifrar grandes volúmenes de información en muy poco tiem- 

po, por lo que resultará ininteligible en manos de un atacante, garantizando así la 
confidencialidad. 

Autenticación de servidores: El usuario puede asegurarse de la identidad del servi- 

dor al que se conecta y al que posiblemente envíe información personal confidencial. 

De esta forma se evita que un usuario se conecte a un servidor impostor que haya 

copiado las páginas del banco o comercio al que suplanta. Estos ataques se conocen 

como Web spoofing, y se utilizan para hacerse con las contraseñas y números de 
tarjeta de crédito de los usuarios. Consulte la sección “Protección contra malware” 

en el Capítulo 5. 

Integridad de mensajes: Se impide que pasen inadvertidas modificaciones intencio- 

nadas o accidentales en la información mientras ésta viaja por Internet. 

§ Opcionalmente, autenticación de cliente: Permite al servidor conocer la identidad 
del usuario, con el fin de decidir si puede acceder a ciertas áreas protegidas. En este 
caso, el cliente debe tener instalado un certificado en su ordenador o en una tarjeta 
inteligente, que le permitirá autenticarse ante el servidor Web. Se evitan así ataques 
comunes de captación de contraseñas mediante el uso de sniffers. En España, buena 
parte de los servicios de la Administración se prestan de forma personalizada a los 
titulares de certificados digitales. De todas formas, hoy por hoy son muy pocos los 
servidores Web que autentican a los usuarios de esta manera. 


D> 


D> 


El funcionamiento de SSL puede compararse con el de un furgón blindado que se utiliza- 
ra para enviar unos documentos desde su oficina a la oficina del cliente, de manera que 
durante el trayecto resultara imposible hacerse con esos datos. Es importante recalcar que 
SSL sólo garantiza la confidencialidad e integridad de los datos privados en tránsito desde el 
navegador hasta el servidor, ni antes ni después. Lo que suceda con ellos en el servidor, está 
ya más allá de la competencia de este protocolo. Los datos podrían ser manipulados irrespon- 
sablemente o caer en manos de un hacker que asaltara el servidor con éxito, sucesos que se 
producen con alarmante frecuencia en nuestros días. (Véase Figura 3.7.) 
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Figura 3.7. El protocolo SSL se ubica entre los protocolos de aplicación y el nivel de 
transporte. 


A la hora de enviar cualquier información confidencial mientras navega por Internet, 
asegúrese antes de que esté utilizando un canal cifrado entre su navegador y el servidor. 
Encontrará dos indicaciones en su navegador: 


Un candado cerrado en la parte central de la barra de estado. 
S El cambio al protocolo https, en la ventana de dirección. 


Para saber cuántos bits de clave está utilizando Internet Explorer, no tiene más que pasar 
el ratón por encima del candado de la barra de estado, sin necesidad de hacer clic en él (vea 
la Figura 3.8). Si hace doble clic, aparecerá una ventana con información sobre el certificado 
del sitio Web seguro. 

Los certificados de los sitios Web incluyen el nombre o URL del sitio para el que han sido 
expedidos. Abra siempre el certificado del sitio y compruebe que el nombre que aparece en él 
coincide con la dirección que ha escrito. 


1. Haga doble clic sobre el candado cerrado de la barra de estado. 

2. Se abrirá una ventana con información sobre el certificado del sitio. En particular, 
lea la línea Enviado a, donde aparece el nombre del sitio Web, de la forma 
www.sitio.com. Compruebe que es idéntico al que aparece en la barra de dirección, 
después de https://. 

3. Pulse Aceptar. 


Cifrado de los mensajes de correo electrónico 


Seguramente ya habrá oído aquello de que nunca debería consignar en un mensaje de correo 
electrónico nada que no considere adecuado para una tarjeta postal. Se trata de un excelente 
consejo. Su jefe o su departamento de informática podrían leer cualquier mensaje enviado 
desde una dirección de correo de la empresa. Pero dado que el correo electrónico va saltando 
por Internet de servidor en servidor sin ningún tipo de protección criptográfica, resulta que 
cualquiera con la firme determinación de invadir su privacidad también podría leerlo. 
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Figura 3.8. Indicaciones en Internet Explorer de que está navegando por un sitio 
seguro, protegido con SSL. 


Noyi Las soluciones de cifrado de mensajes de correo electrónico descritas a continuación cifran el mensaje 
antes de enviarlo. Es decir, no se trata de un cifrado a nivel de red. Para ello, se utiliza el protocolo SSL 
o los túneles SSL o SSH, que se explican más adelante. 


Outlook Express 


Uno de los mayores atractivos de Outlook Express radica en sus sofisticadas capacidades de 
cifrado incorporadas por defecto, sin necesidad de añadir plug-in adicionales. Eso sí, para 
poder cifrar, antes es necesario hacerse con un certificado digital. Se puede conseguir uno de 
prueba gratuitamente siguiendo los pasos descritos más adelante en la sección “Firmas elec- 
trónicas y certificados digitales” al final del capítulo. 

Para enviar mensajes cifrados necesita además tener instalado en su ordenador el certifi- 
cado del destinatario a quien desea enviárselos. Cuando recibe un mensaje firmado, automá- 
ticamente el certificado del remitente se almacena en su almacén de certificados. 

Puede comprobar los certificados de otros usuarios que tiene almacenados si en Internet 
Explorer abre Herramientas>Opciones de Internet>-Contenido>Certificados>Otras per- 
sonas. 

Una vez que tiene su certificado y el de la persona a quien quiere enviar el mensaje 
confidencial, cuando haya terminado de redactar el mensaje, pulse el botón Cifrar mensaje 
de la barra de herramientas o bien seleccione Herramientas>Cifrar. Si posee el certificado 
del destinatario, el mensaje se enviará cifrado sin problemas. 
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De vez en cuando se publica en la prensa alguna noticia de algún personaje a quien le han 
suplantado, enviando correos electrónicos en su nombre. Verdaderamente, resulta sencillísi- 
mo hacerlo. Cualquier usuario puede configurar una identidad con los datos de la cuenta de 
correo de otra persona y dedicarse a enviar por ahí mensajes en su nombre. Quedará constan- 
cia de la dirección IP de la máquina que envió el correo, pero con pericia hasta este inconve- 
niente puede salvarse. En el Capítulo 2 se explica cómo enviar correos anónimos sin rastro 
de la dirección IP del remitente. 

En definitiva, un correo no dice nada acerca de la verdadera identidad del remitente a 
menos que esté firmado. Cada día es más frecuente encontrarse con mensajes firmados de 
forma sistemática, con la leyenda: “Todos mis mensajes están siempre firmados. Si recibe un 
mensaje procedente de esta cuenta sin mi firma, entonces no es mío”. Qué duda cabe de que 
el firmado digital constituye la única forma de evitar la suplantación y las terribles conse- 
cuencias que podrían derivarse de ella. 

Una vez haya terminado de redactar un mensaje y antes de enviarlo, basta con que pulse 
el botón Firmar el mensaje digitalmente o que seleccione Herramientas>Firmar digital- 
mente. 

Como ha quedado dicho, su identidad en Internet está recogida en sus certificados digitales. 
No sólo conviene que los proteja mediante una contraseña frente al uso fraudulento que 
pudieran hacer otros usuarios suplantándole, sino también ante eventuales desastres 
informáticos, como un borrado del disco duro. 

Necesita realizar una copia de seguridad de sus certificados y guardarla en un lugar 
seguro. Piense que si por el motivo que fuera perdiera su certificado, no podría leer los 
mensajes que le hubieran enviado cifrados, por lo que se perderían irremisiblemente. Ade- 
más tendría que revocar el certificado perdido y solicitar uno nuevo, informar de ello a las 
personas con las que se escribía con las consiguientes molestias. Sea precavido y se ahorrará 
muchos disgustos. 


1. Seleccione Herramientas>Opciones>Seguridad. 

2. Pulse el botón Ids. digitales. 

3. Seleccione la pestaña Personal para que se listen todos sus certificados y seleccione 
de entre ellos aquel que desee exportar. 

4. Pulse el botón Exportar y se iniciará el proceso de exportación. 


PGP 


El sistema de protección de los correos electrónicos de Outlook Express se basa en la utiliza- 
ción de certificados digitales emitidos por autoridades de certificación. Este esquema de 
certificación es lo que se conoce como una estructura jerárquica vertical: existe una autori- 
dad de certificación, que puede certificar a una empresa; la oficina central certifica a cada 
una de las oficinas de la empresa; cada oficina certifica a sus departamentos respectivos, 
cada uno de los cuales certifica a sus empleados. Como se ve, se trata de una estructura 
piramidal. Para conocer qué son y cómo funcionan las firmas digitales, los certificados digitales 
y las autoridades de certificación, consulte la última sección de este capítulo. 

Existen otros esquemas de certificación de tipo horizontal, en el que los usuarios certifi- 
can a otros usuarios, sin necesidad de recurrir a autoridades centrales ni de pagar por adqui- 
rir certificados. 

PGP es el programa más popular de cifrado y firmado de correo electrónico de este último 
tipo, un auténtico héroe legendario de la lucha civil por la libertad criptográfica para todos 
los ciudadanos. Permite firmar y cifrar los correos, de manera que usted podrá estar seguro 
de que nadie más que el destinatario legítimo es capaz de leer los mensajes, de que éstos no 
son manipulados y de que nadie le suplanta. (Véase Figura 3.9.) 
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Figura 3.9.  PGP es uno de los programas más utilizados para la protección del correo 


electrónico de usuarios particulares. 


El mejor sitio Web donde encontrar versiones actualizadas, noticias, manuales y todo 
tipo de información sobre PGP es www.pgpi.org. Otra fuente de información muy valiosa 
para usuarios de habla hispana es la página sobre PGP de la comunidad RedIRIS en 
wWWww.rediris.es/pgp. 


Esteganografía 


Enviar correos cifrados presenta el inconveniente de que una persona que los intercepte no 
sabrá lo que dice el mensaje, pero sospechará que algo se trama cuando en vez de enviarse en 
claro se envían cifrados. Cifrar la información en ciertos entornos puede levantar sospechas, 
atrayendo la atención sobre las personas que están manteniendo comunicaciones cifradas: 
“Algo tienen que ocultar cuando cifran sus comunicaciones”. La esteganografía, la ciencia 
que persigue transmitir información de forma inadvertida u oculta, presta su ayuda en este 
tipo de situaciones. 

La técnica esteganográfica más habitual consiste en esconder la información secreta den- 
tro de archivos de imágenes o de música. Para añadir una capa extra de protección, la infor- 
mación previamente se cifra. Ahora, al ir escondido dentro de un archivo que actúa de tapadera, 
el mensaje cifrado no despierta sospechas: cualquier persona que espíe el tráfico observará 
que se ha enviado una foto del baño vespertino del bebé, sin el menor atisbo de mensaje 
cifrado. El receptor utilizará la foto y la misma clave de cifrado para recuperar el mensaje 
original. Puede encontrarse un exhaustivo listado de software esteganográfico en 
www.stegoarchive.com, tanto de pago como freeware. Uno de los programas más utilizados 
durante años ha sido Steganos (www.steganos.com). (Véase Figura 3.10.) 

A título anecdótico, merece la pena mencionar el original sistema esteganográfico creado 
por Spam Mimic, disponible gratuitamente en www.spammimic.com, que transforma un 
mensaje secreto en un mensaje de spam. De esta manera, a los ojos de cualquiera que vea el 
mensaje, le parecerá un odioso correo basura, sin que llegue a sospechar que en realidad 
esconde un mensaje confidencial. 
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Figura 3.10. Protección esteganográfica de mensajes de correo. 


La gran ventaja de la esteganografía a la hora de enviar mensajes es que nadie (léase 
Enfopol, Echelon, Carnívoro, el jefe, etc.) imagina que se está utilizando un canal de comu- 
nicación encubierto, a diferencia de lo que ocurre al utilizar S/MIME, PGP u otros sistemas 
de cifrado, los cuales delatan que se está enviando información secreta, aunque ésta no sea 
inteligible sin la clave. Por supuesto, la esteganografía no se limita a la transmisión de 
información. Los archivos de imágenes o música o lo que sea, también se pueden utilizar 
para almacenar información en el disco. 


Cifrado de otros protocolos 


Ya se ha mencionado que existen muchos otros protocolos de comunicaciones que no sopor- 
tan el cifrado de forma nativa: Telnet, rlogin, FTP, NNTP, y un largo etcétera. De hecho, la 
práctica totalidad de protocolos de Internet no utiliza cifrado. 

SSL es el protocolo más extendido para proporcionar cifrado a otros protocolos. Como se 
vio en la Figura 3.7, el rasgo que distingue a SSL de otros protocolos para comunicaciones 
seguras es que SSL se ubica en la pila de protocolos entre los niveles de transporte (TCP/IP) 
y de aplicación. Gracias a esta característica, SSL resulta muy flexible, ya que puede servir 
para proporcionar servicios criptográficos (cifrado, integridad y autenticación) potencial- 
mente a otros protocolos además de HTTP. De hecho, muchos de estos protocolos incluyen 
versiones compatibles con SSL. Si no es así, siempre se puede crear un túnel SSL como se 
describe a continuación. 

Otro protocolo que goza de amplia aceptación es SSH que sustituye a sus predecesores 
Telnet, rlogin, rsh y rcp para conexión a terminales remotos, que también se describe más 
adelante. 


Túneles SSL 


Los túneles SSL funcionan cifrando todo lo que envía el emisor de forma transparente y 
descifrándolo antes de entregárselo al receptor. De esta manera, se crea un túnel cifrado 
entre emisor y receptor. El emisor envía al cliente de túnel toda la información que quiere 
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hacer llegar al servicio remoto. El túnel la cifra utilizando SSL y la envía así protegida a 
través de Internet hasta el servidor de túnel. El programa túnel descifra los datos y se los 
retransmite en claro a la máquina destino. Gracias a este mecanismo, ni cliente ni servidor 
necesitan hablar SSL de forma nativa, ya que el túnel se encarga del cifrado de los datos 
actuando como puente entre ambos. (Véase Figura 3.11.) 

Por supuesto, el túnel también sirve para que un cliente que no soporta SSL pueda conec- 
tarse a un servidor que sólo acepta conexiones cifradas con SSL. Si por ejemplo está escri- 
biendo alguna versión particular de cliente Web para algún uso muy específico y quiere 
conectarse a un servidor seguro, puede utilizar un túnel en modo cliente para establecer el 
canal seguro con SSL con el servidor Web. 

Uno de los programas más populares para crear túneles SSL es Stunnel. Funciona como 
un programa de consola, de la siguiente manera. Imagínese que tiene la máquina A, que 
actúa como cliente, la cual quiere conectarse a un cierto servicio en el puerto 10101 de la 
máquina B, que actúa como servidor. Ni el cliente ni el servidor soportan SSL, pero desean 
transmitir la información cifrada. En esta situación, Stunnel actuará en la máquina A como 
cliente, recibiendo en claro todas las peticiones enviadas al puerto 10101 y reenviándolas 
cifradas a un puerto arbitrario en B, por ejemplo, 10100. Por su lado, Stunnel actuará en la 
máquina B como servidor, recibiendo todas las peticiones cifradas destinadas al puerto 10100 
y reenviándolas en claro al puerto 10101. Con esta configuración, A puede enviar sus peti- 
ciones a B a través de un canal cifrado de forma totalmente transparente, aunque ni A ni B 
entiendan SSL. 

Para habilitar el túnel SSL, en la máquina A se ejecutará el siguiente comando: 


stunnel -c -d 10101 -r maquinaB:10100 


La opción -c indica que se trata del cliente en la conexión SSL. La opción -d indica que 
se queda a la escucha en el puerto 10101. Mediante la opción -r se le especifica que retrans- 
mita todo lo que le llegue por el puerto 10101 al puerto 10100 de la máquina B. 

Mientras que en la máquina B se ejecutará la siguiente instancia de Stunnel: 


stunnel -p /ruta/hasta/stunnel.pem -d 10100 -r 10101 


La opción -p especifica la ruta de acceso al archivo con el certificado de servidor. La 
opción -d 10100 indica que se quede a la escucha en el puerto 10100, mientras que con -r se 
le informa de que debe retransmitir todo lo que le llega por el puerto anterior al puerto 
10101. Evidentemente, la máquina B debe poseer un certificado para que la negociación de 
SSL y el cifrado de los datos puedan tener lugar. 

Stunnel es una herramienta de gran flexibilidad y potencia, cuyos usos son infinitos. 
Algunos de los más interesantes pueden centrarse en la protección del envío de correos 
(protocolo SMTP), de la lectura de correos (POP3 o IMAP), conexiones con bases de datos, 
terminales remotos como VNC, etc. Puede encontrar una descripción detallada de Stunnel, 
su configuración y sus muchos usos en su sitio Web, www.stunnel.org. 


SSH 


SSH (Secure Shell) proporciona conexiones seguras a terminales remotos gracias al uso de 
criptografía de clave pública. SSH no se limita a proteger sesiones de terminal remotas, 
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Figura 3.11. Funcionamiento de Stunnel. 
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también proporciona seguridad para FTP y permite redirigir puertos TCP/IP a través de un 
canal cifrado en ambas direcciones, al estilo de lo que se hace con los túneles SSL. De hecho, 
las posibilidades y flexibilidad ofrecidas por SSH a la hora de crear túneles exceden con 
mucho las de SSL, pero por su complejidad no serán tratadas en este libro. 

Existen diferentes versiones de SSH: la versión comercial se puede adquirir en 
www.ssh.com. Otra versión completamente gratuita se encuentra en www.openssh.com. En 
el Capítulo 4 se examinará el funcionamiento de las redes privadas virtuales (VPN) que 
permiten crear túneles cifrados para enviar la información de forma segura entre dos redes 
conectadas por una red pública y por tanto insegura. 


IPSec 


IPSec es una versión segura del protocolo IP, de ahí su nombre (1P Security). Las limitacio- 
nes de la suite de protocolos TCP/IP son de sobra conocidas: no proporcionan ni autentica- 
ción, ni autorización, ni confidencialidad, ni integridad. Como consecuencia, los paquetes 
de los protocolos TCP/IP (véase Figura 4.1) pueden ser falsificados (ataque contra la auten- 
ticación), manipulados (ataque contra la integridad), interceptados (ataques contra la 
confidencialidad), inconsistentes, causando fallos en los servidores (ataque contra la dispo- 
nibilidad), etc. El motivo por el que se creó IPSec es ofrecer protección contra estos ataques 
con el fin de salvaguardar el CID de la información en tránsito y prevenir los ataques de red 
más frecuentes. IPSec protege las comunicaciones proporcionando: 


Autenticación de paquetes IP, mediante un variedad de mecanismos, como el proto- 
colo de autenticación Kerberos v5, los certificados digitales o claves secretas com- 
partidas entre todos los equipos conectados. 


Â Privacidad, mediante el cifrado de los datos con algoritmos de cifrado en bloque de 
Clave secreta como DES o Triple DES. 

A Integridad de datos, mediante algoritmos de hash como MD5 o SHA-1. 

8 Defensa contra reactuación: Los ataques de reactuación (replay attacks) consisten en 


interceptar paquetes utilizando un sniffer y extraer de entre ellos los que contienen 
información de autenticación. Estos paquetes se inyectan de nuevo en la red, dotando 
al atacante de acceso al servicio. Si así se configura, IPSec también impide estos 
ataques debido a un número de secuencia aleatorio contenido en su carga útil de 
seguridad encapsulada (Encapsulated Security Payload o ESP). Cada vez que el 
receptor extrae un paquete, copia en una tabla dicho número de secuencia. Si un 
atacante intercepta un paquete y lo retransmite, el número de secuencia ya se encon- 
trará en la tabla, por lo que el paquete será rechazado. 


IPSec se encuentra disponible de forma nativa en Windows XP/2000/2003. Puede utili- 
zarse junto con cortafuegos, redes privadas virtuales y otros dispositivos de protección de 
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redes, con el fin de proporcionar defensa en profundidad (vea la sección “La seguridad en la 
empresa” del Capítulo 1). Debido a su complejidad, IPSec no será tratado en este libro, 
aunque se remite al lector interesado a la sección “Referencias y lecturas complementarias” 
al final del capítulo. 


Integridad 


El objetivo de la integridad consiste en garantizar que los datos, objetos y recursos no han 
sido alterados, permanecen completos y son fiables. La modificación no autorizada de los 
datos puede ocurrir durante su almacenamiento, transporte o procesamiento. Por tanto, se 
vuelve necesario implantar mecanismos de control de la integridad durante todos los estados 
de la información. La integridad puede examinarse desde tres enfoques diferentes: 


Los sujetos no autorizados no deberían poder modificar la información en absoluto. 

A Los sujetos autorizados no deberían poder realizar modificaciones no autorizadas. 

S Los objetos deberían ser interna y externamente consistentes de manera que sus da- 
tos son correctos y verdaderos en todo momento. 


Los virus, en especial las puertas traseras y caballos de Troya, suelen ser los máximos 
responsables de la corrupción de datos y archivos, aunque tampoco se puede despreciar la 
incidencia de errores en el software, fallos humanos involuntarios, codificación descuidada 
(causa muy común de violación de la integridad en bases de datos), reemplazos o borrados 
accidentales, etc. 

Entre las contramedidas más utilizadas para asegurar la integridad frente a estas y otras 
amenazas pueden citarse las siguientes: 


Cifrado de datos: Si los datos han sido cifrados, cualquier manipulación sobre ellos 
será detectada inmediatamente al descifrarlos. No obstante, el mero cifrado de la 
información no impide que pueda ser corrompida. 
Autenticación de usuarios: Permite discriminar quién es un usuario autorizado y 
quién no. Estos últimos, al serles negado completamente el acceso, no podrán alterar 
ningún dato. La autenticación se describe más adelante en este capítulo y en el Capí- 
tulo 5 se explicará cómo fortalecerla. 
Autorización de usuarios: A los sujetos autenticados se les permite el acceso, pero 
dependiendo de su nivel de autorización podrán realizar o no modificaciones sobre 
los datos. Una correcta asignación de permisos y privilegios resulta vital para que los 
sujetos autenticados no puedan alterar datos importantes por error o voluntariamen- 
te. La autorización se describe más adelante en este capítulo y en el Capítulo 5 se 
explicará cómo configurarla. 

Sistemas de detección de intrusos: Los IDS detectan la actuación de un intruso den- 

tro del sistema informático, alertando al administrador de su presencia. Normalmen- 

te detectan la alteración no autorizada de datos. Los IDS se tratan en profundidad en 

el Capítulo 6. 

§ Verificaciones de resúmenes: Las funciones de resumen (hash) se utilizan para pro- 
ducir un resumen de longitud fija a partir de un mensaje de longitud variable. La 
longitud del hash suele ser de 128 o 160 bits, muy inferior a la del mensaje. Los 
hashes se caracterizan porque resulta imposible regenerar el mensaje conociendo 
sólo el resumen (propiedad de unidireccionalidad). Poseen además una tasa de coli- 
siones muy baja, es decir, la probabilidad de que a partir de dos mensajes distintos se 
obtenga el mismo hash es despreciable. Proporcionan integridad de datos, ya que si 
se cambia un bit del mensaje, cambia por completo el hash. Una práctica común 


D> 


D> 


D> 
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consiste en calcular el hash de todos los archivos de todo o parte de un sistema de 
archivos y verificarlo periódicamente en busca de alteraciones subrepticias. Los 
algoritmos más utilizados para hash son MDS5 y SHA. También se suelen utilizar 
códigos de redundancia cíclica como CRC32, pero debe tenerse muy presente que 
éstos carecen de robustez criptográfica, por lo que sólo resultan apropiados para 
detectar cambios accidentales en los datos, nunca deliberados. 


Al igual que se comentó en el caso de la confidencialidad, la organización debe plantear- 
se unos objetivos de integridad que posteriormente se concretarán en una serie de medidas 
técnicas como las explicadas a continuación. Carece de sentido aplicar las medidas técnicas 
sin más, sin el planteamiento previo de una serie de objetivos y expectativas de seguridad. 
En este capítulo se tratarán los siguientes aspectos de la integridad de la información, que- 
dando a discreción de la organización en qué circunstancias o ante qué amenazas aplicarlas: 


Integridad en el almacenamiento de datos, tanto de archivos de sistema, como cual- 
quier otro tipo de archivos, y de información almacenada en bases de datos. 
8 Integridad en el transporte de datos, utilizando SSL y las firmas electrónicas. 


Integridad en el almacenamiento de datos 


Reviste gran importancia asegurarse en todo momento de que la información almacenada en 
disco no ha sido manipulada subrepticiamente. En esta sección se explican los mecanismos 
existentes para proteger la integridad de archivos de sistema, archivos de datos y registros de 
bases de datos. 


Control de cambios 


Windows 2000 y las versiones posteriores incorporan un rudimentario control de cambios en 
los archivos críticos del sistema, conocido como Protección de Archivos de Windows (Win- 
dows File Protection o WFP). El servicio WFP se ejecuta como un proceso que monitoriza 
continuamente archivos críticos de sistema que forman parte de Windows, con extensiones 
como .sys, .dll, .ocs, .exe, etc., en busca de modificaciones a los mismos: borrado o reempla- 
zo. Para detectar cambios WFP previamente calcula una firma digital de estos archivos du- 
rante su instalación, que almacena en un catálogo de firmas. Si WFP detecta que un archivo 
ha cambiado, entonces lo reemplaza por la copia válida, que conserva almacenada en la 
carpeta C:\Windows\system32\dllcache. Si WFP no puede localizar la ruta de acceso del 
archivo manipulado, entonces le pide al usuario que le indique dónde encontrarlo. 

La integridad de los archivos protegidos por WFP puede comprobarse en todo momento 
utilizando dos herramientas incluidas con el sistema operativo: 


Comprobación de la firma del archivo (File Signature Checker): Se trata de una 

herramienta gráfica, que puede invocarse escribiendo “sigverif” en IMicio>Ejecutar. 
S System File Checker: Se trata de una herramienta similar, pero de línea de coman- 

dos. Se carga abriendo una ventana de comandos DOS y escribiendo simplemente: 


SE 


Firma de archivos 


El servicio WFP vela por la integridad de los archivos de sistema de Windows. Sin embargo, 
existen otros muchos archivos que, sin ser del sistema, también deben conservarse íntegros. 
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Para proteger estos archivos se suele recurrir a la estrategia de calcular resúmenes: se calcula 
un hash de cada archivo y un hash de cada carpeta, y así sucesivamente para todo el área del 
sistema de archivos cuya integridad se desee proteger. Este resumen se puede verificar perió- 
dicamente con el fin de detectar cambios en el sistema de archivos. 

Una de las herramientas más populares y con más solera para llevar a cabo este cometido 
es Tripwire, que puede encontrarse en www.tripwire.org. Una herramienta similar es Easy 
Integrity Check System, que puede descargarse desde sourceforge.net/projects/e1cs. Estas 
herramientas son gratuitas, pero sólo para plataformas Unix. Tripwire también está disponi- 
ble para Windows, pero como herramienta de pago (www.tripwire.com). Tripwire suele uti- 
lizarse de hecho como un sistema de detección de intrusiones. Consulte el Capítulo 6 para 
aprender más sobre estos sistemas. Una herramienta similar y gratuita para Windows, tam- 
bién muy popular, es GFI LANguard System Integrity Monitor (www.gfihispana.com). (Véase 
Figura 3.12.) 

Otras herramientas muy populares para calcular resúmenes de archivos son: md5, fsum y 
sfv. S1 se utiliza alguna de ellas, téngase muy en cuenta que el archivo con los resúmenes 
debe almacenarse de forma separada en lugar seguro. De otra forma, podría ser fácilmente 
regenerado por un atacante, habida cuenta de que los hashes no utilizan contraseña alguna 
ni sistema de autenticación. Como medida de precaución adicional conviene almacenar es- 
tos hashes en un CD-ROM de sólo lectura o incluso en papel (un volcado de impresora), de 
manera que no puedan ser modificados por un intruso. 


md5sum 


Es una utilidad de línea de comandos que calcula resúmenes MDS de los archivos seleccio- 
nados. Posteriormente, se pueden verificar estos resúmenes para detectar modificaciones en 
los archivos originales. Los archivos con la información de los resúmenes tienen formato 
md5. Se puede descargar md5sum desde www.etree.org/md5com.html. A continuación se 


ERES SOTA 


Archivo Acción Ver Ayuda 


a a (E 2 


(3 Console Root File Scan job 
= Iy GFI LANguard System Integrit: O ärchivos de programa  <None> 
Y Files O Documents and Setti... <None> 

+ a OQ Downloads <None > 

E Scan jobs Oupa <None> 

ce Default Scan Job O onza dias 

T ES, Goneri O Inetpub <None> 


Program version 
Æ LANguard S.1.M OM; RoboForm Data <None> 


Æ LANguard 5.E.L.M. O program Files <None> 
Æ LANguard N.S.S. OQPurevoice <None> 
Æ Knowledge Base OQRECYCLER <None> 
+ 0] Visor de sucesos (local) UD System Yolume Infor... <MNone> 
AJWINDOWS Default Scan Job 
FSJAUTOEXEC,BAT Default Scan Job 
(E) CONFIG.SYS Default Scan Job 
3) 10.5YS Default Scan Job 
E) msDOS.SYS Default Scan Job 
FINTDETECT.COM Default Scan Job 





Figura 3.12. GFI LANguard System Integrity Monitor alerta al administrador cuando un 
archivo ha sido modificado. 
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muestra un ejemplo de cómo calcular el hash MDS de todos los archivos ZIP de una carpeta 
y cómo verificarlos después. 


C:1Archivos de programa>mdbsum.exe *.zip zips.mdb 
abbco26408ec8271015463a9005f8ace *fsum.zip 
ed995b6cb53436a9d551bb917fac0595 *htthostl80personal.zip 
la334859b318038d8celc447e7ed96f5 *zips.md5 


C:1Archivos de programa>mdbsum.exe -Cc z1ps.mdb 
SUI TOK 
ntthost1i80personal.zip: OK 


fsum 


Se trata de otra utilidad de línea de comandos para la verificación de la integridad de archi- 
vos. Ofrece una amplio abanico de algoritmos de hash y de funciones de checksum para 
calcular los resúmenes de los archivos: MD2, MD4, MDS, SHA-1, SHA-2 (256, 384, 512), 
RIPEMD-160, PANAMA, TIGER, ADLER32 y CRC32. Además es compatible con mdSsum 
y soporta los formatos de archivos .md5 y .sfv. Se puede descargar gratuitamente desde 
www.slavasoft.com. A continuación se muestra el mismo ejemplo, pero realizado con fsum. 


EArcnivos de programa "SUM a Sd 

SlavaSoft Optimizing Checksum Utility - fsum 2.5 

Implemented using Slavasoft QuickHash Library <www.slavasoft.com> 
Copyright (C) SlavaSoft Inc. 1999-2003. All rights reserved. 


C: Archivos de programa>fsum -c zips.md5 

SlavaSoft Optimizing Checksum Utility - fsum 2.5 

Implemented using Slavasoft QuickHash Library <ww.slavasoft.com> 
Copyright (C) SlavaSoft Inc. 1999-2003. All rights reserved. 

OK MD5 fsum.z1p 

OK MD5 hntthosti80personal.zip 


fsum se puede utilizar para verificar resúmenes generados con md3sum y viceversa, siempre 
y cuando el formato elegido para fsum haya sido md5. Como puede verse, la versatilidad de 
fsum es mucho mayor. 


Debería monitorizar cambios en archivos importantes del sistema (típicamente bajo el directorio 
C:\Windows o C:\Winnt) y de aplicaciones (típicamente bajo C:lArchivos de programa) que no cambien 
nunca o casi nunca. Por tanto, no monitorice cambios en carpetas de usuario, carpetas de trabajo 
temporal o donde existan registros de actividad (logs). Archive la “foto” del sistema en un dispositivo de 
Sólo lectura, como un CD-R o DVD-R, de manera que no pueda manipularse. 


sfv 


SFV (Simple File Verification) es el formato utilizado para almacenar resúmenes CRC32 de 
archivos. La longitud de un resumen CRC32 es de 32 bits. Por este motivo, CRC32 nunca se 
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debe utilizar con fines criptográficos, pues sería fácilmente falsificable. Sí se puede utilizar 
(y de hecho se utiliza extensamente) para detectar alteraciones fortuitas debidas a errores no 
intencionados. WinSFV fue el primer programa en utilizar este formato. La creación de 
resúmenes de archivos constituye un poderoso aliado para saber qué archivos han sido modi- 
ficados si se produce un ataque de virus o de intrusos. Este tema se desarrolla en el Capí- 
tulo 6, al hablar de análisis forense. 


Integridad en bases de datos 


Las bases de datos presentan sus propios problemas de integridad. Deben asegurar que los 
datos que almacenan son correctos y consistentes. Se pueden distinguir dos mecanismos de 
protección de la integridad de datos: los que protegen la integridad del sistema y los que 
protegen las propiedades de integridad relacional, es decir, propiedades como integridad de 
entidad, integridad referencial, integridad transaccional y reglas de negocio. 

La integridad del sistema implica garantizar que el dato insertado en la base de datos es 
el mismo que se extrae de ella. Este tipo de integridad exige que sólo los usuarios autorizados 
tengan acceso de modificación o borrado de los datos. 

La integridad de entidad garantiza que cada fila de una tabla está identificada unívocamente 
por valores no nulos contenidos en las columnas que constituyen su clave primaria. Por 
ejemplo, el número de las facturas debe ser único, de manera que no puedan coexistir dos 
facturas con el mismo número. 

La integridad referencial utiliza restricciones sobre los datos para forzar dependencias y 
relaciones entre las filas de diferentes tablas. Por ejemplo, el número de identificación de 
cliente que aparece en las facturas debe ser un número válido, correspondiente a la clave 
primaria de la tabla de clientes. Estas relaciones entre claves primarias y foráneas deben 
especificarse durante la creación de las tablas. 

La integridad transaccional garantiza que ciertas transacciones críticas se realizan com- 
pletamente (commit) o no se realizan en absoluto (rollback). Por ejemplo, si se desea trans- 
ferir dinero de la cuenta A a la cuenta B, habrá que aumentar el saldo en B y disminuirlo en 
A dentro de la misma transacción. No puede admitirse que sólo se realice una operación, sino 
que deben ocurrir ambas. Y si alguna no puede realizarse, entonces no se realiza ninguna. 

Por último, las reglas de negocio aseguran que los datos cumplen con reglas internas del 
negocio, como por ejemplo, que un cliente no pueda hacer más de tres pedidos superiores a 1000 
euros en un mismo mes o que una misma factura no pueda contener más de 30 artículos. Este 
tipo de reglas se implantan dentro de la propia base de datos típicamente a través de disparadores 
(triggers) y procedimientos almacenados, funciones y paquetes. También pueden aplicarse 
externamente en las aplicaciones que llaman a la base de datos, pero en tal caso un usuario que 
accediera directamente a la base de datos y no a través de la aplicación podría saltárselas. 


Integridad en el transporte de datos 


Al igual que ocurre con la confidencialidad de los datos, su integridad debe protegerse no 
sólo durante su almacenamiento, sino también durante su transporte. Nuevamente, se cuenta 
con las mismas herramientas de protección: SSL en el navegador y el cifrado/firmado digital 
en el correo electrónico. Para otros protocolos se sigue utilizando IPSec, túneles SSL o redes 
privadas virtuales (VPN). 


Integridad de los datos en el navegador 


SSL no sólo sirve para cifrar los datos, sino también para proteger su integridad. El protoco- 
lo calcula automáticamente hashes de los datos transmitidos, los cuales son verificados en 
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recepción para detectar cualquier tipo de corrupción en los datos. En concreto, SSL utiliza 
códigos de autenticación de mensajes (Message Authentication Code o MAC) para verificar 
que los datos no han sido manipulados. Un MAC es un resumen o checksum obtenido a 
partir de un conjunto de datos por medio de un esquema de autenticación que utiliza una 
clave secreta. Son muy comunes los MAC basados en funciones hash, conocidos como HMAC: 
utilizan una clave en conjunción con un hash para producir un resumen criptográficamente 
seguro de los datos. El uso de algoritmos de HMAC hace que la verificación de la integridad 
sea más segura, ya que ambos extremos de la comunicación deben conocer la clave secreta 
utilizada en su cálculo. Nótese la diferencia con un algoritmo de hash convencional, como 
MDS o SHA-1, que no exige conocimiento de clave alguna para su cómputo. 


Integridad de los mensajes de correo electrónico 


Así como el cifrado proporciona confidencialidad en el envío de mensajes de correo electró- 
nico, las firmas digitales añaden la posibilidad de verificar su integridad. Las firmas digitales 
se crean calculando un hash de los datos, el cual se cifra con la clave privada del usuario. Los 
datos se envían junto con la firma digital (esto es, el hash cifrado con la clave privada), de 
manera que el receptor puede recalcular el hash a partir de los datos y compararlos con el 
hash obtenido de descifrar la firma con la clave pública del remitente. 

Para poder firmar digitalmente mensajes de correo electrónico con Outlook Express, 
antes debe hacerse con un certificado digital. Una vez haya terminado de redactar un mensa- 
je y antes de enviarlo, basta con que pulse el botón Firmar el mensaje digitalmente o que 
seleccione Herramientas>Firmar digitalmente. 


Noy No debe confundirse la firma digital con la firma de texto que suele añadirse al final de los mensajes. 
El funcionamiento de estas firmas se configura desde Herramientas>Opciones>Firmas. Por supues- 
to, éstas no añaden ninguna seguridad a los mensajes. 


Disponibilidad 


El objetivo de la disponibilidad consiste en garantizar que los datos permanecen accesibles 
sin interrupciones cuando y donde se los necesita. La disponibilidad exige que se implanten 
una serie de controles para asegurar un nivel razonable de rendimiento, una gestión rápida y 
eficiente de las interrupciones, proporcionar redundancia en caso de fallos, mantener copias 
de seguridad actualizadas y evitar la pérdida o destrucción de datos. 

Con frecuencia, las amenazas contra la disponibilidad poseen un origen más fortuito que 
deliberado: fallos en el hardware o en la alimentación eléctrica, errores en el software (¿a 
quién no se le ha colgado Word o Windows y ha perdido todos los datos no guardados en 
disco?), condiciones ambientales extremas, como calor, frío o humedad excesivos, servicios 
infradimensionados que no son capaces de atender todas las peticiones, usuarios y adminis- 
tradores negligentes, etc. No obstante, no hay que olvidar interrupciones deliberadas del 
servicio como las siguientes: 


Ataques de denegación de servicio (Denial Of Service o DoS): Resultan muy comu- 
nes hoy en día en Internet ya que pueden lanzarse de manera remota mediante el uso 
de herramientas automatizadas. Simplificando al máximo, los ataques DoS consis- 
ten en consumir todos los recursos del sistema objetivo de manera que no pueda dar 
respuesta a las peticiones de usuarios legítimos. Algunos de los ataques DoS más 
comunes son LAND, Smurf, inundación SYN, Teardrop, fragmentación IP, inunda- 
ción Ping y los ataques DoS distribuidos (DDoS). Como mínimo, todo equipo visible 
en Internet debería implantar contramedidas que fortalezcan la configuración de la 
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pila TCP/IP para protegerse ante estos ataques. En el Capítulo 5 se explican algunas 

técnicas de bastionado de red para protegerse frente a estos ataques. 

Destrucción de archivos: Nuevamente los virus son la fuente más común de ataques 

de este tipo. Además de implantar los mecanismos pertinentes para prevenir la inci- 

dencia de esta plaga, se debe conservar una copia de seguridad de la información 
más valiosa y mantener sistemas redundantes para que se pueda continuar con la 

operación normal mientras se restaura el sistema afectado. La protección frente a 

virus se tratará en profundidad en el Capítulo 5. 

8 Cortes en las líneas de comunicaciones: Se trata de una forma sencilla de interrum- 
pir la operación de una empresa o particular, cortando su vía de comunicación con el 
exterior. Cuando la continuidad de las comunicaciones resulte vital, resulta impres- 
cindible disponer de un sistema alternativo de conexión a Internet. 


D> 


Las contramedidas más comunes para asegurar la disponibilidad de la información in- 
cluyen la implantación de sólidos mecanismos de control de acceso, la monitorización del 
tráfico para dimensionar adecuadamente los servidores y recursos de red, la utilización de 
cortafuegos y routers correctamente configurados para evitar ataques DoS, la implantación 
de sistemas redundantes en aplicaciones críticas y el mantenimiento de copias de respaldo de 
la información vital. 

De todos los aspectos de la gestión de la seguridad, posiblemente el que más atención 
recibe de la dirección y empleados sea la disponibilidad, debido a la evidencia de su pérdida: 
los usuarios se quejan si no pueden acceder a Internet o al servidor de base de datos o a la 
impresora, o ponen el grito en el cielo si se muere el disco duro llevándose a la tumba todos 
los archivos del trabajo de un año, o se revolucionan si se pierden los datos de la sesión de 
trabajo porque se va la luz. Otros aspectos como la confidencialidad, la auditoría o el control 
de acceso no tienen un efecto tan visible, por lo que pueden quedar relegados. Aunque no 
estén presentes, siempre y cuando no ocurra ningún incidente, nadie los echa en falta. Sin 
embargo, la disponibilidad, o mejor dicho, su ausencia, salta a la vista para todos los usua- 
rios. En muchas organizaciones su pérdida puede llegar a tener efectos mucho más 
devastadores que la pérdida de confidencialidad o de integridad, esta última dentro de unos 
límites tolerables. Este capítulo abordará los siguientes temas sobre disponibilidad cuya im- 
plantación, evidentemente a diferentes niveles y siempre tras un análisis previo de riesgos y 
expectativas, debería ser considerada por todo tipo de organizaciones, incluidos usuarios 
particulares: 


= Tolerancia a fallos en el entorno, los sistemas y las aplicaciones. 

A Recuperación de sistemas ante pequeños desastres. 

S Plan de contingencia para reaccionar y recuperarse ante sucesos que amenacen cual- 
quiera de los principios del CID, reanudando la marcha normal del negocio en el 
menor tiempo posible. 


Tolerancia a fallos 


En un sistema informático son muchas las cosas que pueden marchar mal: puede irse la luz, 
un disco duro puede dejar de funcionar, se puede caer un servidor, un router puede estropear- 
se, se puede perder la conectividad exterior, quién sabe qué más. Hay que estar prevenido 
para el desastre. Contrariamente a lo que muchas pequeñas empresas y particulares puedan 
pensar, la prevención de desastres no es competencia exclusiva de las grandes corporaciones. 
Existen soluciones que se ajustan a todos los presupuestos y necesidades de disponibilidad. 
En esta sección se enfoca el problema de cómo afrontar las posibles eventualidades a través 
de capas o aproximaciones sucesivas: 
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El entorno: Fallos en el suministro eléctrico, incendios, calor y frío excesivos, hume- 
dad, robos, etc. 

A El hardware: Líneas de comunicaciones, equipamiento de red, servidores, discos 
duros, etc. 

S El software: Postura segura ante fallos, gestión de excepciones, integridad 
transaccional, etc. 


La Figura 3.13 representa gráficamente la relación entre estas tres capas. 


Protección del entorno 


Existen una serie de medidas de seguridad medioambiental que revisten gran importancia 
para garantizar no sólo el funcionamiento ininterrumpido del negocio, sino también salva- 
guardar la seguridad física del personal empleado. Las tres grandes áreas de control 
medioambiental comprenden el suministro eléctrico, la detección y extinción de incendios y 
la calefacción, ventilación y aire acondicionado (Heating, Ventilation, and Air Conditioning 
o HVAC). Tampoco se puede olvidar al hablar de la protección del entorno de las medidas de 
seguridad física para proteger a los equipos contra robos e intrusiones físicas. 


Fallos en el suministro eléctrico 


Por desgracia, ninguna compañía eléctrica garantiza un suministro eléctrico estable 24 ho- 
ras al día, 7 días a la semana. Por si los problemas de las operadoras de energía no fueran 
suficientes, algunos pequeños incidentes como fuertes lluvias, calor excesivo, o cuadros dife- 
renciales mal dimensionados pueden provocar apagones cuando menos se los espera. Es 
muy frecuente encontrarse con estos apagones en verano, cuando los sistemas de aire acon- 
dicionado sobrecargan las líneas de energía y hacen saltar el diferencial. Sea cual sea la 
causa, de lo que puede estar seguro es de que antes o después, y generalmente en el peor 
momento, se producirá alguna anomalía en el suministro. 


Entorno 


Hardware 





Figura 3.13. Diferentes niveles de tolerancia a fallos en los que se deben implantar 
medidas preventivas: entorno, hardware y software. 
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Protegerse contra estas eventualidades requiere instaurar una estrategia de protección del 
suministro eléctrico: 


Protectores de sobretensión: Como mínimo, una instalación eléctrica doméstica debe 

contar con una regleta de enchufes con interruptor que incorpore un circuito protec- 

tor contra sobretensiones con el fin de proporcionar estabilidad eléctrica a los equi- 
pos conectados a dicha base. Su precio es muy económico por lo que todo tipo de 
usuario puede permitírselo. 

Sistemas de alimentación ininterrumpida: Los sistemas de alimentación ininterrum- 

pida (SAI o UPS en inglés) permiten que un equipo informático continúe operando 

sin suministro eléctrico durante un tiempo que suele oscilar entre cinco minutos y 

dos horas (depende del SAI y del consumo de los equipos protegidos). Su finalidad es 

impedir que el trabajo se pierda si se produce un corte de luz, ya que su autonomía es 
muy limitada y sólo alcanza para guardar la información crítica y cerrar el sistema 
de forma ordenada. Los SAI ofrecen además de protección frente a cortes de corrien- 
te, protección frente a cambios bruscos de voltaje, rayos, sobrecargas y cortocircuitos. 

Si su suministro eléctrico es inestable, no dude en adquirir un SAI y se ahorrará 

muchas horas de trabajo perdido por culpa de apagones inesperados. 

S Sistemas de alimentación alternativos: Si necesita poder seguir operando en el caso 
de que el suministro eléctrico se vea interrumpido durante horas, entonces necesita 
instalar generadores autónomos, como grupos electrógenos alimentados por com- 
bustible. Si el apagón se prolonga más allá del tiempo de reserva de los SAI, enton- 
ces entra en funcionamiento el grupo electrógeno. Normalmente este tipo de generador 
tiene una autonomía de varias horas o incluso días, en función de las reservas de 
combustible disponibles. Como norma se suele aplicar que la generación de la elec- 
tricidad para un sistema de alimentación alternativo debe ser generada mediante un 
principio físico distinto de la primera, para asegurarse de que la secundaria ofrecerá 
servicio tras la caída de la principal. 


D> 


Quienes no puedan permitirse el gasto de un SAI ni mucho menos de una fuente de 
alimentación alternativa, deben considerar otras estrategias. Después de todo, no hay que 
perder de vista que el objetivo de seguridad consiste en no perder información si se produce 
un corte de energía. La característica de autorrecuperación de la mayoría de programas pue- 
de programarse a intervalos muy cortos, por ejemplo de cinco minutos, con el fin de reducir 
el impacto de un apagón sobre el trabajo en curso. Recuerde, en la gestión de la seguridad lo 
importante es definir el objetivo y luego implantar las medidas, y no implantar medidas 
porque sí perdiendo de vista su objetivo o su razón de ser. 


Detección y extinción de incendios 


Los incendios representan una de las amenazas más serias y peligrosas. La rápida detección 
y extinción de incendios supone una necesidad crucial para la operación continuada y segura 
de los sistemas de información. Debería considerarse siempre la instalación de detectores de 
incendios, incluso en aquellas situaciones en que no esté regulado u obligado por ley. Los 
hay de muchas clases y precios, de efectividad variable: de ionización, fotoeléctricos, de 
infrarrojos, detectores de calor, etc. Consulte con un proveedor e instale el más adecuado 
para su negocio. 

Una vez que un fuego se ha detectado, debe desalojarse a la gente de la zona afectada. 
Solamente una vez que ya se ha puesto al personal a salvo, se intentará extinguirlo. Siempre 
debería contarse con extintores cerca de equipos eléctricos, incluidos los ordenadores. De 
forma sorprendente, son muy pocos los hogares españoles con un extintor. Se trata de un 
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grave riesgo de seguridad. Debe adquirirse un extintor de tipo ABC, capaz de extinguir 
fuegos de clase A (combustibles sólidos), de clase B (combustibles líquidos) y de clase C 
(eléctricos). Además de los extintores, puede evaluarse la conveniencia de instalar un siste- 
ma manual o automatizado de extinción de incendios. 


Calefacción, ventilación y aire acondicionado 


Mantener unas condiciones apropiadas de humedad y temperatura resulta necesario para el 
correcto funcionamiento de muchos equipos informáticos, especialmente en grandes salas de 
ordenadores y centros de proceso de datos (CPD). Como mínimo, sirve para que el personal 
se sienta cómodo y trabaje más a gusto. En las salas de ordenadores se debería mantener la 
temperatura dentro de unos límites entre 15 y 23 grados típicamente. Los niveles de hume- 
dad deben restringirse entre 40 y 60%, ya que demasiada humedad causa corrosión, mientras 
que demasiada sequedad causa electricidad estática. Precisamente, las descargas de electrici- 
dad estática pueden dañar los equipos. 


Seguridad física de los equipos 


El robo físico es el problema de seguridad que más frecuentemente afecta a las grandes 
organizaciones. Cuanto más pequeño es el objeto, mayor es su riesgo de ser robado: portát1- 
les, organizadores personales (Personal Digital Assistant o PDA), calculadoras, teléfonos 
móviles, discos, disquetes, CD-ROM y DVD, documentos en papel, etc. Las contramedidas 
de seguridad física que se suelen utilizar para disminuir el riesgo de robo o acceso físico 
ilegítimo son: 


Controles activos: Este tipo de contramedidas incluyen controles preventivos y hasta 
cierto punto detectivos como la contratación de personal de seguridad para controlar 
la entrada en los puntos de acceso al edificio, el uso de tarjetas de identificación para 
empleados internos y para visitantes, registro de los nombres y horas de todas las 
personas que acceden a los locales, utilización de cámaras de vigilancia de circuito 
cerrado, perros, detectores de movimiento, detectores de cristal roto, ventana o puer- 
ta abierta, etc. Entre los controles de tipo correctivo se cuentan la definición de qué 
hacer si se detectan intrusos. Para evitar este tipo de comportamiento delictivo entre 
el personal se pueden implantar controles disuasorios en forma de cláusulas en los 
contratos o firma de códigos éticos. 

8 Controles pasivos: Estas contramedidas comprenden el uso de muros, rejas, puertas, 
cajas fuertes, cajones y armarios cerrados con llave, candados, etc. Este tipo de con- 
troles de tipo preventivo resultan más asequibles para pequeñas empresas y particu- 
lares. 


En esta área, como en tantas otras, los controles deben aplicarse a nivel físico, técnico y 
administrativo. Una forma de reducir los casos de hurto consiste en minimizar las oportuni- 
dades. Si los empleados se marchan abandonando su trabajo encima de la mesa, o dejan el 
ordenador desatendido durante largos períodos de tiempo, es más fácil que se produzcan 
robos. Las organizaciones deberían adoptar una política de puesto de trabajo despejado con 
el fin de eliminar las oportunidades de hurto. La norma ISO 17799 incluye los siguientes 
controles en su apartado 7.3.1: 


Cuando no se estén usando, los papeles y soportes informáticos se deberían guardar 
en locales cerrados y/o en los tipos de mobiliario de seguridad adecuados, especial- 
mente fuera de las horas de trabajo. 
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D> 


Cuando se esté usando, la información sensible o crítica para la Organización se 
debería guardar fuera (lo mejor en un armario o un lugar resistente al fuego), espe- 
cialmente cuando el despacho esté ocupado. 

Los ordenadores personales y terminales no se deberían dejar desatendidos una vez 
completados los procesos de identificación y autenticación de usuario, ni las impresoras 
encendidas, y deberían estar protegidos por cierres, contraseñas y otras medidas cuando 
no se están utilizando. 

Se deberían proteger los puntos de entrada y salida de correo, así como las máquinas 
de fax y télex no atendidas. 

Las fotocopiadoras se deberían cerrar (o protegerse por medios similares contra su 
uso no autorizado) fuera de las horas de trabajo. 

S Se debería sacar inmediatamente de las impresoras la información sensible o clasifi- 
cada. 


D> 


> © 


Protección del hardware 


La disponibilidad del hardware depende en gran medida del tiempo medio que es capaz de 
estar funcionando sin averiarse (Mean Time Between Failure o MTBF) y del tiempo medio 
que se tarda en reparar o sustituir en caso de avería (Mean Time To Repair o MTTR). Para 
cada dispositivo hardware crítico deberían calcularse estas dos cantidades, puesto que su 
disponibilidad (D) es igual a 


= MTBF 
MTTR + MTBF 


Evidentemente, cuanto mayor sea la calidad del hardware, teóricamente mayor será el 
valor de MTBF. Por otro lado, garantizar un MTTR bajo supone elevados gastos operacionales. 
La disponibilidad suele expresarse por el número de nueves: disponibilidad de 3 nueves 
significa que D = 99,9%. En aplicaciones críticas se suele exigir una disponibilidad de 
5 nueves, lo que significa que en promedio el sistema sólo estará caído 315 segundos al año. 

A continuación se repasarán las formas más frecuentes de garantizar la disponibilidad: 
sistemas RAID, almacenamiento redundante, clusters de servidores y conexiones redundantes. 


Sistemas RAID 


Un RAID es un array redundante de discos independientes (Redundant Array of Independent 
(o Inexpensive) Disks o RAID). El sistema RAID separa los datos en múltiples unidades y los 
almacena en múltiples discos utilizando la técnica conocida como creación de bandas 
(striping). Por ejemplo, si se quieren escribir los datos “ABC”, se escriben tanto en el prime- 
ro, segundo, como tercer disco, para hacerlos disponibles a operaciones de lectura en caso de 
que un disco falle. Todo ello transparente para el sistema operativo, para quien el RAID se 
comporta como un solo disco duro lógico. De esta manera, uno de los discos físicos puede 
fallar sin que se pierdan datos. Además de proporcionar tolerancia a fallos, algunos sistemas 
RAID también mejoran el rendimiento. Normalmente, los RAID se utilizan en servidores, 
no en equipos de usuario. Los RAID pueden implantarse en software o hardware, contando 
cada tipo de implantación con sus ventajas e inconvenientes. 

Existen varias clasificaciones de funcionalidad o niveles de RAID. Diferentes niveles 
RAID ofrecen diferentes grados de rendimiento, disponibilidad de datos e integridad de 
datos. En función del uso final, un nivel RAID será más adecuado que otro, no es que sean 
unos mejores que los demás. Los niveles RAID más frecuentes se listan en la Tabla 3.4. 
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Redundancia en el almacenamiento 


En cuanto a la consolidación del almacenamiento masivo de datos en una red, se suelen 
utilizar diversos enfoques: 


Almacenamiento directamente conectado (Direct Attached Storage o DAS): Se trata 
del sistema de almacenamiento tradicional, consistente en una o más unidades de 
disco conectadas directamente al servidor, usualmente a través de SCSI. DAS tiene 
la ventaja de la gran velocidad de transferencia, 160 MBps, ya que está directamente 
conectado al servidor, pero ahí se acaba lo bueno. DAS crea islas de almacenamien- 
to, difíciles de gestionar como un todo coordinado. Sólo se puede acceder a sus datos 
a través del servidor, lo que consume ciclos de CPU, y el acceso es dependiente del 
sistema operativo, lo que dificulta compartir datos en redes heterogéneas. No se pue- 
de optimizar su utilización ni reasignar el espacio, por lo que habrá servidores que 
desaprovechen capacidad de disco, mientras otros se hallen al límite de su capaci- 
dad. Si un servidor necesita más espacio, se pueden ir agregando discos, pero final- 
mente se quedará sin puertos SCSI, lo que obligaría a utilizar un nuevo servidor. 
Además, cualquier operación de mantenimiento sobre los discos exige detener el 


Tabla 3.4. Sistemas RAID. 


Nivel Descripción Ventajas Inconvenientes 

No es tolerante a fallos: 
si falla un disco se 
pierden todos los datos. 

No se puede utilizar 


en aplicaciones críticas. 


Diseño sencillo. 
Mejora el rendimiento 
de las operaciones 

de E/S, ya que se 
lee/escribe en paralelo. 
Fácil implementación. 


0 Proporciona creación 
de bandas en múltiples 
discos, que se ven como 
uno solo. 

No almacena información 
redundante entre discos. 
Requiere un mínimo 

de dos discos. 

l Proporciona duplicado 
de discos (mirroring), 
almacenando todos 
los discos idéntica 
información. 

Requiere un mínimo 
de dos discos. 

2 Utiliza múltiples discos 


Overhead del 50% 

(la mitad de los discos 
no se utiliza más que 
para respaldo). 

Debe implantarse 

en hardware, porque en 
software es muy lento. 
No existen 


La velocidad de lectura 

es más rápida, pero 

la de escritura, más lenta. 
Puede soportar el fallo 

de varios discos. 

El diseño de RAID 

más sencillo. 

Corrige datos al vuelo. 


para almacenar los datos 
y otro para la 
información de paridad 
(códigos de Hamming). 
La paridad permite 
determinar si se han 
producido errores y en 
caso afirmativo, 
corregirlos. 

Requiere un mínimo 

de tres discos. 


Controlador relativamente 
sencillo comparado con 
los niveles 3, 4 y 5. 


implantaciones 
comerciales, por lo que 
no se usa hoy en día. 
Exige gran cantidad 

de discos de paridad. 
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Tabla 3.4. Sistemas RAID (cont.). 


Nivel 
3 
4 
5 
Â 


Descripción Ventajas Inconvenientes 

Creación de bandas Velocidad de lectura/ La velocidad de E/S 
(distribución de la escritura muy alta. es como mucho igual a 
información) a nivel Pequeño impacto la de un solo disco. 
de byte. del fallo de un disco Diseño de controladores 
Se utiliza un disco para en el rendimiento. muy complicado. 
almacenar la paridad. Utiliza un solo disco Necesita implantarse en 

Requiere un mínimo de paridad. hardware debido a su 
de tres discos. complejidad y consumo 

de recursos. 

Creación de bandas Velocidad de lectura/ Diseño de controladores 
(distribución de la escritura muy alta. muy complicado. 
información) a nivel Utiliza un solo disco Si falla un disco resulta 
de bloque. de paridad. complicado reconstruir 
Se utiliza un disco para los datos. 


almacenar la paridad. 
Requiere un mínimo 
de tres discos. 


Creación de bandas Las lecturas y escrituras Exige los controladores 
(distribución de la pueden realizarse más complejos de todos. 
información) para los concurrentemente. 
datos y la paridad Permite recuperar los datos 
en todos los discos. en caso de fallo de algún 

Requiere un mínimo disco. 


de tres discos. 


servidor. Por otro lado, si un servidor se cae, su espacio de almacenamiento queda 
inaccesible. Para crear redundancia de datos entre servidores hay que replicar el 
servidor completo. En definitiva, se trata de una solución adecuada solamente para 
entornos muy pequeños, con escasas necesidades de almacenamiento, típicamente 
inferiores a 500 GB. 

Almacenamiento conectado a la red (Networked Attached Storage o NAS): Se trata 
de servidores de archivos conectados a la red como un dispositivo más con su direc- 
ción IP propia. La velocidad de acceso a datos es tan buena como la velocidad de la 
red local: hasta 125 MBps en Gigabit Ethernet, aunque la mayoría de redes todavía 
son Fast Ethernet a 12,5 MBps, nada que ver con los 160 MBps de la conexión SCSI. 
Si por el motivo que sea la red transporta mucho tráfico, los accesos a discos NAS se 
verán ralentizados. La ventaja es que dado que se accede a través de Ethernet, es muy 
fácil compartir NAS con máquinas Windows, Linux, Unix, Apple, etc. Su instala- 
ción y administración resultan muy sencillas al principio. Sin embargo, a medida 
que NAS se acerca a su límite de capacidad, se convierte asimismo en un cuello de 
botella. Si se añaden más servidores NAS, entonces la complejidad de gestión se 
dispara rápidamente, volviéndose a la pesadilla de DAS. NAS también comparte con 
DAS la limitación de no poder reasignar el espacio para balancear el uso de almace- 
namiento entre los distintos subsistemas. Cada servidor NAS tiene la capacidad que 
tiene, y no hay más. En este sentido, se pueden encontrar desde los muy económicos 
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de 20 GB, hasta los muy caros con cientos de TB de capacidad. Esta solución suele 
adoptarse cuando se requiere servicio de archivos para los equipos de la red. Resul- 
tan una opción muy adecuada para replicación de datos y copias de respaldo. 

Redes de almacenamiento por área (Storage Area Networks o SAN): Se trata de una 
red separada consagrada exclusivamente al almacenamiento. Los servidores pueden 
conectarse a través de un canal de fibra (Fibre Channel SAN) o a través del protocolo 
IP (IP SAN). Una SAN típica consiste en una granja de arrays de discos, racks de 
CD-ROM, bibliotecas de cintas, etc., interconectados por el medio elegido, Fibra o 
IP. Su mayor ventaja es que las SAN son infinitamente escalables. Si además la SAN 
está configurada con replicación y redundancia, pueden quitarse y ponerse unidades 
sin que se interrumpa el servicio. Pero estas ventajas llegan al precio de un coste de 
adquisición, mantenimiento y operación elevadísimo, sólo al alcance de grandes 
empresas. 


Cluster de servidores 


Los servidores de un cluster prestan un servicio, de manera que puedan fallar uno o varios de 
ellos y el servicio se siga prestando. Las tres configuraciones más utilizadas son: 


A 


A 


Cold-standby: Se utiliza un servidor idéntico al que está en operación. Si el principal 
falla, se restauran sus datos en el de reserva y se pone en funcionamiento inmediata- 
mente, reanudándose el servicio interrumpido. Aunque es la solución más barata, 
requiere intervención humana e incorpora un retraso significativo en la reanudación 
del servicio. 

Hot-standby: Los servidores del cluster contienen (o acceden) a la misma informa- 
ción, pero sólo uno de ellos está prestando el servicio en cada momento. Si se produ- 
ce un fallo, entonces el servidor de reserva entra en funcionamiento automáticamente 
restableciendo el servicio. Esta replicación debe realizarse en tiempo presente, de 
manera que el servidor replicado contenga en todo momento información actualiza- 
da y válida. El servidor de reserva sondea continuamente al servidor operativo para 
detectar algún fallo y en caso afirmativo, asume las tareas del servidor averiado. Esta 
solución es mucho más eficaz que la anterior, pero también más cara y más compleja 
de administrar. Tiene el problema añadido de desperdiciar los recursos del servidor 
de reserva mientras está en espera. 

Balanceo de carga: Se trata de un conjunto de servidores que actúan como uno solo: 
desde el punto de vista de los clientes sólo existe un servidor. Ofrecen dos ventajas 
significativas: en cuanto a la escalabilidad, a medida que más usuarios se conectan al 
servidor para requerir sus servicios, la carga de procesamiento es mayor y llegará un 
momento en que su servicio se degrade, aumentando los tiempos de espera. En un 
cluster, se pueden ir añadiendo más servidores a medida que la carga de trabajo 
aumenta. En cuanto a disponibilidad, cuando uno de los servidores del cluster se cae 
por el motivo que sea, el resto de servidores continúan ofreciendo el servicio. La 
caída de uno o más servidores no se apreciará excepto en una pérdida de rendimien- 
to. La aplicación puede que funcione más lentamente, pero seguirá funcionando, que 
es lo que importa. Una vez reparado, el servidor puede retornar a su trabajo 
restableciéndose el nivel de servicio anterior. 


La instalación, configuración y operación de un cluster de servidores excede los objetivos 
de este libro. Se remite al lector interesado a www.microsoft.com/windowsserver2003/ 
techinfo/overview/servercluster.mspx, donde puede encontrarse información sobre la arqui- 
tectura de cluster de servidores en Windows 2003. 
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Interrupción de la conexión de red 


Hoy en día suele resultar vital para la marcha de muchos negocios disponer de una conexión 
a Internet ininterrumpida. La mejor manera de asegurar este servicio permanentemente con- 
siste en utilizar conexiones redundantes. Es una buena idea contratar una segunda línea de 
conexión con un proveedor de servicios de Internet (PSI) diferente. Esta conexión de respal- 
do no tiene por qué ofrecer la misma velocidad que la principal, aunque sí debería proporcio- 
nar un ancho de banda capaz de suplir las necesidades de conectividad en caso de que la 
línea principal deje de funcionar. Además de contar con una línea duplicada, suele ser nece- 
sario replicar todo el equipamiento de red: servidores, cortafuegos, routers, switches, tarjetas 
de red, etc. 

Otro enfoque más seguro, pero más caro, consiste en utilizar una conexión redundante 
con balanceo de carga: el tráfico se distribuye equitativamente entre las dos líneas y si se cae 
una de ellas, todo el tráfico se deriva hacia la operativa. 


Protección del software 


Paradójicamente, aunque la mayoría de empresas concentran sus esfuerzos en protegerse 
frente a fallos de hardware utilizando diversas combinaciones de las medidas preventivas 
explicadas en la sección anterior, son mucho más frecuentes los fallos software. Existen 
asimismo una serie de medidas que pueden emprenderse para protegerse frente a errores en 
el software (bugs): 


Temporizadores (timeouts): Normalmente, las operaciones deben realizarse dentro 
de unos tiempos preestablecidos. Si se excede el tiempo esperado, puede reintentarse 

~ la operación o abortarse. 

A Gestión de excepciones: Resulta crucial tratar adecuadamente los errores producidos 
durante la aplicación para que ésta no se pare ni interrumpa el servicio. 

8  Reinicios incrementales: A veces un fallo en la aplicación puede causar el reinicio 
del servidor con la consiguiente pérdida de disponibilidad. Para reducir el tiempo 
global de reinicio, se pueden configurar reinicios incrementales. 


Recuperación de sistemas 


Cuando todo falla, cuando los archivos han sido destruidos, cuando la información ha des- 
aparecido, sólo existe una solución para retornar a la normalidad: tirar de backup, esto es, 
acudir a las copias de respaldo y restaurar el sistema al estado en que se encontraba cuando 
se realizó la última copia de seguridad. 

El respaldo de archivos resulta esencial para asegurar la integridad y disponibilidad de 
los datos. Los sistemas pueden fallar por muy variadas causas, naturales o provocadas. La 
conservación de copias de seguridad del sistema de archivos y del estado del sistema debida- 
mente actualizadas constituye su seguro de vida para el caso de que el desastre llame a su 
puerta. 


Copias de seguridad del sistema de archivos 


¿Qué copiar? ¿Cómo copiarlo? ¿Con qué frecuencia? ¿En qué tipo de soporte almacenarlo? 
¿Durante cuánto tiempo? ¿Dónde guardar las copias? ¿Quién las hace? Todos estos 
interrogantes vienen a la cabeza cuando uno se plantea cómo organizar una política de co- 
pias de seguridad, tarea nada trivial. A lo largo de esta sección se irá dando respuesta a cada 
una de las preguntas. 
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Información a copiar 


En todo equipo existen dos tipos de información bien diferenciados: 


Información de sistema: Se trata de los archivos del sistema operativo y de todo el 
software instalado. 

8 Información de usuario: Se refiere a los datos generados por las aplicaciones: docu- 
mentos de Office, registros de base de datos, información de servidores Web o FTP, 
planos, dibujos, etc. 


La pérdida del primer tipo de información no resulta excesivamente trágica: para retor- 
nar a la situación original basta con reinstalar el sistema operativo y el software. En el caso 
peor, no se pierde más que tiempo. Sin embargo, resulta crucial mantener copias de seguri- 
dad de la información de usuario. Su pérdida sí que puede representar un desastre para la 
empresa. Por tanto, como mínimo deberá hacerse siempre una copia de seguridad de los 
datos de trabajo del día a día. De hecho, una buena práctica consiste en utilizar siempre al 
menos dos discos duros, de manera que el sistema operativo y todo el software se instalen en 
uno y los datos de usuario y de trabajo en otro. Así se facilita el proceso de copias de seguri- 
dad y se ofrece cierta protección frente al fallo de hardware. Como en cualquier caso la 
información de sistema no cambia a un ritmo tan rápido como la información de usuario, 
tampoco resulta necesario hacer copias de seguridad del sistema con la misma frecuencia, 
aunque nunca está de más realizarlas de vez en cuando. 


Tipos de copia de seguridad 


Actualmente se utilizan varias metodologías diferentes de copia de seguridad: 


Copia de seguridad completa: Se almacena una réplica exacta de los archivos a pro- 

teger en el dispositivo de almacenamiento de respaldo. Durante la copia, todos los 

archivos se marcan como copiados. La primera vez que se realiza una copia de segu- 
ridad siempre se utiliza este método. Si el volumen de datos es muy grande, puede 
requerir un tiempo muy elevado. 

A Copia de seguridad incremental: Solamente se almacenan aquellos archivos que han 
sido modificados desde la última copia de seguridad completa o incremental. Los 
archivos copiados se marcan como copiados. Por tanto, en la siguiente copia 
incremental no se volverán a copiar los archivos que fueron copiados en copias de 
seguridad incrementales anteriores. 

8 Copia de seguridad diferencial: Solamente se almacenan aquellos archivos que han 
sido modificados desde la última copia de seguridad completa. Los archivos copia- 
dos no se marcan como copiados. Por tanto, en la siguiente copia diferencial volve- 
rán a copiarse los archivos que fueron copiados en copias de seguridad diferenciales 
anteriores. 


Estos métodos, comparados en la Tabla 3.5, suelen combinarse en una estrategia de copia 
de seguridad global. Por ejemplo, puede realizarse una copia de seguridad completa sema- 
nalmente y una copia de seguridad incremental o diferencial diariamente. En la Figura 3.14 
se ilustra el funcionamiento de la copia de seguridad completa semanal junto con la copia de 
seguridad incremental diaria. El domingo se realiza la copia de seguridad completa de todos 
los archivos. Esta copia requerirá una gran capacidad de almacenamiento y un tiempo largo 
de realización. Posteriormente, al final de la jornada del lunes se realiza una copia incremental, 
en la que sólo se copian los archivos que han cambiado a lo largo del día respecto de la copia 
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Tabla 3.5. Comparación entre los distintos métodos de copia de respaldo. 


Método de copia Espacio de Proceso de Proceso de Cuándo 
almacenamiento creación restauración usarlo 
Completo Máximo posible Muy lento Sencillo Pocos datos 
Completo + Mínimo posible Rápido Laborioso Muchos 
Incremental datos que 
cambian 
frecuentemente 
Completo + Muy grande Lento Sencillo Muchos 
Diferencial datos que 
cambian 
lentamente 


de seguridad completa del domingo. Al final del martes se realiza otra copia incremental, en 
la que sólo se copian los archivos que han cambiado el martes. El miércoles se realiza otra 
copia incremental. El jueves ocurre un desastre: el servidor se cae y se pierden los archivos, 
o un virus destruye la información, o el disco duro deja de funcionar. Se toman las cintas de 
la copia completa del domingo y las de las copias incrementales del lunes, martes y miérco- 
les y se restaura al sistema al estado en que se encontraba el miércoles por la noche, cuando 
se realizó la última copia incremental. Como puede verse, este método es el más rápido y el 
que menos espacio ocupa a la hora de realizar las copias, aunque tarda más tiempo al restau- 
rarlas. Además, si faltase alguna de las cintas del lunes, martes o miércoles o alguna estuvie- 
se en mal estado, no podría restaurarse el sistema completamente. 

En la Figura 3.15 se ilustra el funcionamiento de la copia de seguridad completa semanal 
junto con la copia de seguridad diferencial diaria. El domingo se realiza la copia de seguri- 
dad completa de todos los archivos. Al final de la jornada del lunes se realiza una copia 






Lunes: Martes: Miércoles: Jueves: 
3 archivos 2 archivos 4 archivos disco duro 
Domingo: estropeado 
todos los 
archivos 


SDSS 


Restauración con conjunto de cintas 1, 2,3 y 4 





Figura 3.14. Copia de seguridad incremental. 
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Lunes: Martes: Miércoles: Jueves: 
3 archivos 2 archivos 4 archivos disco duro 
Domingo: estropeado 


todos los 
archivos 





Restauración con conjunto de cintas 1 y 4 


Figura 3.15. Copia de seguridad diferencial. 


diferencial, en la que sólo se copian los archivos que han cambiado a lo largo del día respec- 
to de la copia de seguridad completa del domingo. Esta cinta contendrá los mismos archivos 
que la primera cinta de la copia incremental. Al final del martes se realiza otra copia diferen- 
cial, en la que se copian los archivos que han cambiado el martes, pero también se vuelven a 
copiar los que cambiaron el lunes. El miércoles se realiza otra copia diferencial, que conten- 
drá los archivos que cambiaron el lunes, martes y miércoles. Como puede verse, a medida 
que transcurre la semana, las copias diferenciales almacenan cada vez más información. El 
jueves vuelve a ocurrir un desastre. Se toman las cintas de la copia completa del domingo y 
la de la copia diferencial del miércoles y con ellas dos se restaura el sistema al estado en que 
se encontraba el miércoles por la noche. Este método es más lento y ocupa más espacio a la 
hora de realizar las copias. Sin embargo, tarda mucho menos tiempo en restaurarlas. Y si 
faltase la cinta del lunes o del martes, el sistema podría seguir restaurándose completamente. 


Duración de las copias de seguridad 


Dado que las copias de seguridad consumen espacio y cuestan dinero, no puede almacenarse 
un número ilimitado de ellas. En algún momento habrá que reutilizar las cintas (u otro 
medio de almacenamiento en lugar de cintas, como por ejemplo CD-RW o DVD-RW) de 
copias previas. A primera vista, podría pensarse en reutilizar las cintas semanalmente. Des- 
pués de todo, si ocurre cualquier desastre, ¿qué necesidad hay de conservar copias de seguri- 
dad de hace seis meses? Se restauran las copias de la última semana y ya está, ¿no? ¡No! 
Imagine que sus archivos fueron corrompidos por un hacker que instaló una puerta trase- 
ra en su sistema hace un mes. Restaurando el sistema al estado de hace una semana, habrá 
restaurado los archivos manipulados durante la última semana, pero no habrá eliminado la 
puerta trasera instalada por el hacker el mes anterior. Para ello necesitaría volver a un estado 
íntegro que se remonte a más de un mes. O imagine que ha actualizado su sistema a una 
nueva versión del sistema operativo o de algún programa importante y un mes después se da 
cuenta de que ha sido un grave error y decide dar marcha atrás y retornar al sistema anterior. 
Por consiguiente, no basta con mantener una copia de seguridad semanal. Hay que extender 
estas copias en el tiempo, remontándose tan atrás como sea posible. De esta manera se estará 
protegido frente a una corrupción en los datos que no fue detectada inmediatamente. 
Existen diferentes esquemas de rotación de medios de almacenamiento, con el fin de 
conservar la información correspondiente al mayor espacio de tiempo posible en el menor 
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espacio de almacenamiento posible. En los ejemplos que siguen supóngase que sólo se 
trabaja los cinco días laborables. El trabajo de cada día se almacena en la cinta de ese día, 
mientras que la cinta del viernes contiene la copia completa de la semana. Las estrategias de 
rotación más utilizadas son: 


Padre-Hijo (Father-Son o FS): Este esquema requiere cuatro cintas para las copias 
diarias (los hijos) y dos cintas para las semanales (los padres) que almacenan la 
copia completa del viernes, como se observa en la Tabla 3.6. Las cintas de las copias 
diarias son las que más se utilizan, por lo que su tiempo de vida se verá acortado. 
Con este esquema la recuperación se limita a seis días. 

A  Abuelo-Padre-Hijo (Grandfather-Father-Son o GFS): Se utiliza un conjunto de cua- 
tro cintas para cada día (los hijos), que son sobrescritas semanalmente. Además se 
utiliza otro conjunto de tres cintas (los padres), cada una de las cuales almacena la 
copia completa de cada viernes. Por último, se utiliza otro conjunto de cintas para 
almacenar la última copia completa de cada mes (los abuelos). Nótese que la copia 
del último viernes del mes es también la copia de ese mes (es un abuelo y no un 
padre). Por ejemplo, para conservar la información de los últimos seis meses harían 
falta 6+3+4 cintas, es decir, 13 cintas. En la Tabla 3.7 se ilustra su funcionamiento. 
En el ejemplo, la recuperación a largo plazo se extiende a seis meses, mientras que la 
recuperación a corto plazo sigue siendo de seis días. Con 19 cintas se podría cubrir 
un año completo. Al igual que en el método anterior, las cintas hijo se deterioran 
mucho antes que las padre, las cuales a su vez lo hacen antes que las abuelo. 

S Torres de Hanoi: Se trata de la estrategia de rotación más eficiente para recuperar 
completamente un sistema durante un período de tiempo mayor con un número limi- 
tado de copias de seguridad. Su nombre hace referencia al famoso juego de mesa 
Torres de Hanoi, por su parecido conceptual. El número de días cubiertos por este 
esquema es igual a 2”*, donde n es el número de cintas utilizado. Por ejemplo, con 
cinco cintas se obtendría una rotación de 31 días. Para comprender cómo funciona 
este método, se etiquetarán las cinco cintas como A, B, C, D y E, respectivamente. 
La cinta A se utiliza para realizar copias cada dos días, es decir, los días 1, 3, 5, 7, etc. 
La cinta B se utiliza para realizar copias cada cuatro días, empezando el segundo, es 
decir, los días 2, 6, 10, 14, etc. La cinta C se utiliza para realizar copias cada ocho 
días, empezando el cuarto, es decir, los días 4, 12, 20, 28, etc. La cinta D cada 16 días 
a partir del octavo: 8, 24, 40, 56, etc. Por último, la cinta E también cada 16 días, 
pero a partir del decimosexto: 16, 32, 48, 64, etc. Para mayor claridad, en la Ta- 
bla 3.8 se ilustra su funcionamiento. En este esquema la recuperación a corto plazo 
se extiende tan sólo a dos días, mientras que la recuperación a largo plazo se extiende 
hasta 31. Con 10 cintas, la recuperación a corto plazo seguiría siendo de dos días, 
mientras que a largo plazo sería de 1023 días, ¡casi tres años! Las mayores desventa- 
jas del método residen en la extrema fatiga sobre la cinta más utilizada y su reducida 
recuperación a corto plazo. Además el método es muy complejo, por lo que hay que 
ser muy cuidadoso con el etiquetado de las cintas. 


Tabla 3.6. Esquema de rotación Padre-Hijo utilizando 6 cintas. 

Lunes Martes Miércoles Jueves Viernes 
Semana 1 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 
Semana 2 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 6 
Semana 3 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 
Semana 4 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 6 
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Tabla 3.7. Esquema de rotación Abuelo-Padre-Hijo utilizando 13 cintas. 
Lunes Martes Miércoles Jueves Viernes 
Semana 1 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 
Semana 2 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 6 
Semana 3 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 7 
Semana 4 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 8 
Semana 5 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 
Semana 6 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 6 
Semana 7 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 7 
Semana 8 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 9 
Semana 9 Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 
Tabla 3.8. Esquema de rotación Torres de Hanoi utilizando 5 cintas. 
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Tipos de medios de almacenamiento 


Se puede utilizar una gran variedad de medios de almacenamiento para albergar las copias 
de seguridad. Tradicionalmente, el formato de almacenamiento por excelencia ha sido la 
cinta magnética. En las primeras columnas de la Tabla 3.9 se listan los formatos de cinta más 
comunes: Digital Audio Tape (DAT), Quarter Inch Cartridge (QIC), Cinta de 8 mm, Digital 


Linear Tape (DLT) y Super DLT, utilizados en empresas de todos los tamaños. 


Tabla 3.9. Formatos de medios de almacenamiento para copias de seguridad. 
Formato Velocidad (MBps) Capacidad (GB) Coste 
Digital Audio Tape (DAT) 1-3 2-20 Medio 
Quarter Inch Cartridge (QIC) 1,5 4-13 Bajo 
Cinta de 8 mm 1-3 2,5-40 Medio 
Digital Linear Tape (DLT) 5 10-40 Alto 
Super DLT 16 160-320 Alto 
CD-R/RW 0,15-2,5 0,64-0,8 Muy bajo 
DVD-R/RW l 5,2 Muy bajo 
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En entornos domésticos o empresas que manejen pequeños volúmenes de datos suele 
recurrirse a otro tipo de medios de almacenamiento más económicos y fáciles de usar, aun- 
que con menor capacidad. El más popular y barato es el CD (R y RW), aunque debido al 
progresivo abaratamiento de las unidades grabadoras últimamente se está extendiendo tam- 
bién el uso del DVD (R y RW). La mayor ventaja del CD/DVD frente a las cintas tradiciona- 
les reside en su dilatado tiempo de vida, superior a los treinta años. 

Por el contrario, en empresas que trabajen con grandes volúmenes de datos suele recurrirse 
a los arrays de cintas, utilizados de manera similar a los RAID para proporcionar mayor 
capacidad y rendimiento, o a la gestión jerárquica de almacenamiento (Hierarchical Storage 
Management o HSM), basada en la idea de que los datos más antiguos no necesitan ser 
restaurados tan frecuentemente, por lo que pueden trasladarse a medios de almacenamiento 
más lentos para dejar sitio a los datos más recientes en los medios más rápidos. 


Lugar de almacenamiento de las copias de seguridad 


Otra cuestión muy importante es dónde almacenar las copias de seguridad. Conviene 
almacenarlas cerca del centro de proceso de datos, o de las oficinas o del lugar donde serían 
necesarias. Así se consigue restaurar en el menor tiempo posible un sistema afectado por 
algún tipo de desastre. Por otro lado, si un desastre azota el lugar normal de trabajo y las 
copias se almacenaban junto a él, puede que también sean destruidas. Por este motivo, con- 
viene extremar la seguridad en su almacenamiento (por ejemplo en armarios ignífugos) y 
mantener copias también en un lugar distinto y distante del de operación diaria. 

El lugar de almacenamiento de las copias de seguridad debe protegerse asimismo contra 
accesos físicos no autorizados. No hay que olvidar el hecho de que las copias de seguridad 
contienen toda la información vital de la organización. Á veces se extreman las precauciones 
y medidas de seguridad en la protección de los servidores y sus datos, pero se descuida el 
almacenamiento de las copias de seguridad. Considérese la posibilidad de utilizar una caja 
de seguridad ignífuga para las copias de seguridad de la información más sensible. 


Responsable de las copias de seguridad 


¿Cada usuario hace copias de sus archivos? ¿Se delega en el administrador o en alguna 
persona nombrada al efecto? No cabe duda de que la forma más eficiente y menos propensa 
a errores y descuidos consiste en nombrar un responsable de copias de seguridad que sea el 
encargado de realizarlas. Así como los datos de servidores no revisten ningún problema si se 
adopta este enfoque, los datos de los equipos personales de los usuarios pueden ser más 
problemáticos. Si los usuarios no siguen unas normas estrictas en cuanto al lugar donde 
almacenar su información de trabajo cotidiana (hojas de cálculo, documentos Word, progra- 
mas en C, imágenes, etc.) el responsable de copias de seguridad podría volverse loco buscan- 
do la información importante diseminada por el disco duro. En estos casos, conviene adoptar 
algún tipo de política que obligue a los usuarios a almacenar su información en ubicaciones 
bien conocidas. En empresas con un número pequeño de empleados la mejor solución con- 
siste en utilizar un disco de red común para todos los usuarios. 


No todo el monte es orégano 


Por último, téngase en cuenta que los sistemas de copias de seguridad no son perfectos y 
presentan numerosos problemas. Entre los más importantes se encuentran los siguientes: 


Reducida velocidad de restauración: El tiempo de restauración desde el medio de 
almacenamiento de respaldo al sistema afectado es inversamente proporcional a su 
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volumen. En algunos casos puede tardarse horas e incluso días en realizar una res- 
tauración total. 
Crecimiento del espacio de almacenamiento requerido: A medida que crece el volu- 
men de datos a proteger y va pasando el tiempo, se requiere más y más capacidad de 
almacenamiento de respaldo, lo que cuesta dinero y ocupa espacio físico (armarios). 
A  Obsolescencia del estado de los datos: Salvo que se realicen copias de seguridad a 
cada instante, los datos protegidos mantienen un desfase con la información a prote- 
ger que suele oscilar entre uno y varios días. Cuando se vuelve a la última copia de 
seguridad tras un desastre resulta inevitable perder cierta cantidad de información. 
8 El 35% de las cintas de copia no funcionan: Aunque la cifra parezca exagerada (y 
otras fuentes citan cifras mucho mayores), lo cierto es que cuando se realiza una 
restauración tras una pérdida de datos, el resultado final rara vez es el esperado. Por 
este motivo, es muy importante realizar pruebas de restauración periódicas, para 
asegurarse de que la estrategia de copias de respaldo implantada funciona adecuada- 
mente. 


D> 


Copias de respaldo del estado del sistema 


El estado del sistema está integrado por un conjunto de datos específicos del sistema opera- 
tivo que se pueden guardar en una copia de seguridad y ser restaurados. Los datos de estado 
del sistema incluyen el Registro, la base de datos de Registro de clases COM y los archivos 
de inicio del sistema. La instalación de software de dudosa calidad, la manipulación irres- 
ponsable del Registro de Windows o el borrado accidental de archivos del sistema pueden 
contribuir a una degradación o incluso interrupción del funcionamiento normal de un equi- 
po. Restaurar sistema es un componente de Windows XP Professional que se puede utilizar 
para restaurar el equipo a un estado anterior, si ocurre algún problema como los citados. 

Restaurar sistema supervisa los cambios que se realizan en el sistema y en algunos archi- 
vos de aplicación y crea automáticamente puntos de restauración que pueden identificarse 
fácilmente. Estos puntos de restauración permiten recuperar el sistema a un estado anterior. 
Se crean diariamente y también cuando se producen sucesos importantes en el sistema, como 
por ejemplo, al instalar una nueva aplicación o un controlador. También pueden crearse 
puntos de restauración manuales en cualquier momento y asignarles un nombre para su refe- 
rencia futura, por ejemplo, antes de realizar cambios manuales en el Registro de Windows. 

Si se dispone a realizar una acción que potencialmente pueda afectar a la configuración 
del sistema, conviene que cree manualmente un punto de restauración: 


1. Seleccione Inicio>Todos los programas>Accesorios>Herramientas del 
sistema>Restaurar sistema. 

2. Se abre la ventana Restaurar sistema. (Véase Figura 3.16.) Seleccione la opción 
Crear punto de restauración y pulse Siguiente. 

3. Escriba una descripción para el punto de restauración que le permita identificarla 
con claridad en el futuro si tiene que regresar a ese punto. Pulse el botón Crear. 


Ahora ya puede realizar esa acción potencialmente peligrosa. Si todo va bien, puede 
olvidarse del punto de restauración. Si algo ha fallado y la cosa no va bien, lo que debe hacer 
es restaurar el sistema a la situación anterior a la creación del punto anterior: 


1. Seleccione Inicio>Todos los programas>Accesorios>Herramientas del 
sistema>Restaurar sistema. 

2. Se abre la ventana Restaurar sistema. Seleccione la opción Restaurar mi equipo a 
un estado anterior y pulse Siguiente. 
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Puede usar Restaurar sistema para deshacer cambios 
peligrosos en su equipo y restaurar la configuración y 
rendimiento del mismo. Mediante Restaurar sistema podrá 
restablecer su equipo a un estado anterior (punto de 
restauración) sin pérdida de datos como, por ejemplo, 
documentos guardados, correo electrónico o historiales y O Restaurar mi equipo a un estado anterior 
listas de favoritos. i 


Para comenzar, seleccione la tarea que desea 
realizar: 


, , , ©) Crear punto de restauración 
Todos los cambios realizados con Restaurar sistema son 
reversibles, 


Su equipo crea automáticamente puntos de restauración 
(puntos de comprobación del sistema), pero también puede 
usarlo para crear sus propios puntos de restauración. Esto 
es útil cuando está a punto de hacer un cambio importante 
en su sistema, como la instalación de un nuevo programa o 
el cambio del Registro. 


Configuración Restaurar sistema 


Seleccione una opción y haga clic en Siguiente para continuar. Siguiente > Cancelar 





Figura 3.16. La creación manual de puntos de restauración le permite volver a una 
configuración del sistema estable si se produce algún problema. 


3. Se le muestra un calendario que resalta en negrita todas las fechas que tienen un 
punto de restauración disponible. Puede tratarse de puntos de control del sistema, 
creados por el equipo de forma programada, o puntos de restauración manual, crea- 
dos por el usuario. También hay puntos de restauración de instalación, creados por 
ciertos programas de instalación para permitir volver al estado anterior si ha habido 
problemas. (Véase Figura 3.17.) 


Utilidad de copia de seguridad de Windows 


Todos los sistemas Windows vienen con su propia utilidad de sistema para la realización de 
copias de seguridad, llamada Copia de seguridad. El sistema de archivos prevé el uso de esta 
herramienta incorporando el atributo de archivar, que indica si un archivo debe copiarse o 
no en la siguiente copia de seguridad. Este atributo se puede acceder haciendo clic sobre el 
nombre del archivo con el botón secundario del ratón y seleccionando Propiedades en el 
menú contextual. A continuación, pulse Opciones avanzadas. En la sección Atributos de 
índice y archivo histórico verá una casilla de verificación llamada Archivo listo para ar- 
chivar históricamente. Si está verificada significa que el archivo debe copiarse en la próx1- 
ma copia de seguridad. Si está sin verificar, entonces se puede omitir su copia. El usuario no 
debe preocuparse por el estado de esta casilla, ya que es la utilidad Copia de seguridad quien 
se encarga automáticamente de dicho atributo para saber cuándo tiene que hacer copia de 
seguridad o no de un archivo dado. 
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Seleccione un punto de restauración 


El calendario siguiente muestra, en negrita, todas las fechas que tienen puntos de restauración disponibles. La lista 
muestra los puntos de restauración disponibles para la fecha seleccionada. 


Los posibles tipos de restauración son: puntos de control del sistema (puntos de restauración programados, 
creados por el equipo), puntos de restauración manual (puntos de restauración creados por el usuario) y puntos de 
restauración de instalación (puntos de restauración automáticos, creados cuando se instalan ciertos programas). . 


1. Haga clic en una fecha en negrita de este 2. Haga clic en un punto de restauración de 
calendario. esta lista. 


mayo de 2004 E lunes, 31 de mayo de 2004 
16:50:57 Modificación del Registro 


Figura 3.17. Para restaurar una configuración estable anterior puede seleccionar un 


punto de control del sistema, un punto de restauración manual o un punto 
de restauración de instalación. 


La utilidad Copia de seguridad ofrece tres servicios: 


Creación de copias de seguridad: Crea copias de respaldo de los archivos y carpetas 
especificados. 

Restauración de datos: Restaura al sistema los archivos y carpetas protegidos me- 
diante copia de seguridad. 

Creación de disco de recuperación automática del sistema: Realiza una copia de 
seguridad de los archivos del sistema necesarios para iniciar el sistema, creando un 
disquete de arranque. 


Creación de copias de seguridad 


1. 


Ži 


3. 


Seleccione Inicio>Todos los programas>Accesorios>Herramientas del 
sistema>Copia de seguridad. Se arranca el asistente para copia de seguridad o res- 
tauración. Pulse Siguiente. 

Seleccione la opción Efectuar una copia de seguridad de archivos y configura- 
ción y pulse Siguiente. 

Especifique qué desea incluir en la copia de seguridad. Si los usuarios utilizan la 
carpeta “Mis documentos” para almacenar toda su información personal, entonces 
debería seleccionar la primera opción. Si los datos que se quieren proteger mediante 
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una copla se encuentran en otras ubicaciones, entonces seleccione la última opción. 
Pulse Siguiente. 

4. Si seleccionó la última opción, entonces deberá especificar los archivos y carpetas a 
copiar. Cuando haya terminado, pulse Siguiente. 

5. Seleccione el lugar donde se almacenará la copia de seguridad pulsando el botón 
Examinar. Escriba un nombre descriptivo para la copia de seguridad, a poder ser 
que indique su contenido y su fecha. Pulse Siguiente. 

6. Antes de terminar, pulse el botón Opciones avanzadas para seleccionar el tipo de 
copia de seguridad a realizar. Pulse Siguiente. 

7. Puede especificar si lo desea las opciones de comprobación, compresión e instantá- 
nea. Pulse Siguiente. 

8. Indique si desea sobrescribir los datos del dispositivo de almacenamiento o anexar- 
los. Pulse Siguiente. 

9. Indique si desea iniciar la copia inmediatamente o desea programarla para que se 
realice automáticamente. Pulse Siguiente. 

10. Ya ha terminado de configurar el Asistente y puede pulsar Finalizar para que dé 
comienzo el proceso de copia en la ubicación seleccionada. 


La ventana Progreso de la copia de seguridad le informa de la evolución seguida duran- 
te la copia. Pulse el botón Informe para leer un informe detallado de progreso. Cuando haya 
revisado la información, pulse el botón Cerrar. 


Restauración de datos 


Si ha ocurrido algún desastre y ha perdido sus datos, ha llegado el momento de poner a 
prueba las capacidades de la utilidad Copia de respaldo. 


1. Seleccione Inicio>Todos los programas>Accesorios>Herramientas del 
sistema>Copia de seguridad. 

Se arranca el asistente para copia de seguridad o restauración. Pulse Siguiente. 
Seleccione la opción Restaurar archivos y configuraciones y pulse Siguiente. 
Seleccione la unidad, carpeta o archivo que desee restaurar y pulse Siguiente. 

Para terminar, pulse Finalizar y dará comienzo el proceso de restauración. 


“EAN 


Al igual que ocurría con el proceso de copia de seguridad, se abre una ventana Progreso 
de la copia de seguridad que le informa de la evolución seguida. Pulse el botón Informe 
para leer un informe detallado de progreso. Cuando haya revisado la información, pulse el 
botón Cerrar. 


Creación de disco de recuperación automática del sistema 


La Recuperación Automática del Sistema (Automatic System Recovery o ASR) es un meca- 
nismo de recuperación que consta de dos partes: 


Copia de seguridad de ASR: Se realiza a través del Asistente para ASR que se en- 
cuentra en la utilidad Copia de seguridad. El asistente realiza una copia de seguridad 
del estado del sistema, los servicios del sistema y de todos los discos asociados a com- 
ponentes del sistema operativo. Crea además un disco de inicialización del sistema. 

§ Restauración de ASR: Durante una restauración, ASR leerá las configuraciones de 
disco del archivo creado y, como mínimo, restaura todas las firmas de disco, volúme- 
nes y particiones en los discos necesarios para iniciar el equipo. A continuación, ASR 
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realiza una instalación simple de Windows e inicia automáticamente la restauración 
utilizando la copia de seguridad que creó el asistente para ASR. 


Para crear un conjunto de recuperación automática del sistema: 


1. Seleccione Inicio>Todos los programas>Accesorios>Herramientas del 
sistema>Copia de seguridad. 

2. Haga clic sobre el hiperenlace Modo avanzado. 

3. En el menú Herramientas, seleccione Asistente para la Recuperación automática 
del sistema (ASR) o pulse directamente el botón Asistente para recuperación au- 
tomática del sistema. 

4. Siga las instrucciones que aparecen en la pantalla, que se limitan a seleccionar el 
medio donde realizar la copia y pulse Finalizar. 

5. Dará comienzo el proceso de copia de los archivos de sistema en el medio de almace- 
namiento seleccionado. Este proceso puede tardar varios minutos en función de la 
velocidad del medio de almacenamiento externo. Cuando termine, se le solicitará 
que introduzca un disquete en la unidad A: para crear un disco de recuperación de 
sistema. Hágalo y pulse Aceptar. 


Conserve siempre el disquete junto con el medio de almacenamiento donde se copió la 
información del sistema. Con ambos podrá recuperar el sistema en cualquier momento si 
ocurre un desastre. Recuerde que de esta forma sólo se almacena información del sistema, 
pero no datos. La copia de seguridad de los datos debe realizarse según el procedimiento 
anterior para copia de seguridad de archivos y carpetas. 

Para recuperarse de un error del sistema con ayuda de la recuperación automática del 
sistema: 


1. Inserte el CD original de instalación del sistema operativo en la unidad de CD y 
reinicie el equipo. Si se le pide que presione una tecla para iniciar el equipo desde 
CD, presione la tecla correspondiente. 

2. Presione F2 cuando se le indique durante la sección del modo sólo texto de Instala- 
ción. 

3. Se le indicará que inserte el disquete de ASR previamente creado. Hágalo y siga las 
instrucciones que aparecen en pantalla. 


Utilidades de copia de seguridad profesionales 


Se han descrito las herramientas de copia de seguridad suministradas con el sistema opera- 
tivo Windows, capaces de satisfacer las necesidades de protección de datos de la mayoría de 
particulares y pequeñas empresas. Sin embargo, si sus requisitos de protección de datos son 
mucho más exigentes, debe recurrir a soluciones profesionales avanzadas, como las listadas 
en la Tabla 3.10. Por su complejidad, no serán tratadas en este libro. 


Plan de contingencia 


Un plan de contingencia implica prepararse para lo peor: ¿Qué pasaría si se quema la ofici- 
na? ¿Qué pasaría si ladrones roban por la noche los ordenadores, impresoras y demás 
equipamiento informático de valor, con toda la información dentro? ¿Qué pasaría si el admi- 
nistrador de red tiene un accidente grave? ¿Qué pasaría si...? 

Se debe estar preparado para detectar, reaccionar y recuperarse ante sucesos que amena- 
cen la seguridad de los recursos y activos de información, tanto si son naturales como causa- 
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Tabla 3.10. Soluciones profesionales avanzadas de copia de seguridad de datos. 


Empresa Producto URL 

VERITAS Software NetBackup www.veritas.com 

Hewlett-Packard HP OpenView OmniBack www.managementsoftware.hp.com 
Legato Systems (EMC) Legato NetWorker www.legato.com 

Computer Associates CA  ARCservelT WWW.ca.com 

CommVault Systems Galaxy www.commvault.com 

IBM Tivoli Storage Manager  www.tivoli.com 

Syncsort Backup Express WWW.syncsort.com 

Ultrabac Software Ultrabac www.ultrabac.com 

St. Bernard Open File Manager www.stbernard.com 


dos por el hombre. El objetivo principal de todo plan de contingencia consiste en retornar a 
la normalidad tras un suceso inesperado en el menor tiempo y con el menor coste posibles. 
En el caso mejor, el plan de contingencia conseguirá que la marcha del negocio no se vea 
afectada apreciablemente. 

Los planes de contingencia están compuestos por varios niveles de planificación: 


Plan de recuperación ante desastres (Disaster Recovery Plan o DRP), centrado en 
dar respuesta a incidentes. Prepara a la organización para afrontar y recuperarse ante 
un desastre, tanto de carácter natural como humano. Típicamente, el DRP se concen- 
tra en el proceso de datos y en que vuelvan a estar disponibles. Representa la acción 
a corto plazo para solucionar los problemas. 

§ Plan de continuidad de negocio (Business Continuity Plan o BCP), centrado en man- 
tener las operaciones de negocio mientras la empresa se recupera del desastre y mini- 
mizar sus efectos. Aumenta la capacidad de la organización de continuar adelante 
con las funciones críticas del negocio ante la ocurrencia de un incidente de seguridad 
o un desastre. Se concentra en los procesos de negocio tanto técnicos como operativos. 
Ofrece la visión global para seguir adelante una vez se han recuperado los datos. Su 
objetivo es asegurar el funcionamiento de la organización a largo plazo. 


En función de las dimensiones de la empresa o de los objetivos perseguidos, estos planes 
serán desarrollados por equipos de trabajo diferentes o por el mismo personal. En general, 
una empresa pequeña o un particular deberían contar al menos con un plan de recuperación 
ante desastres rudimentario. 

El plan de continuidad de negocio debería ser también contemplado, aunque sólo sea en 
grado mínimo. 


Plan de continuidad de negocio 


El plan de continuidad de negocio (BCP) asegura que las funciones críticas del negocio 
pueden continuar si se produce un desastre. Exige crear políticas, planes y procedimientos 
para minimizar el impacto del desastre en la organización. Por tanto, uno de los aspectos 
clave de un plan de continuidad de negocio consiste precisamente en la identificación de las 
funciones de negocio críticas y de los recursos necesarios para soportarlas, así como las 
amenazas a las que están expuestos. Cuando ocurre un desastre, éstas son las funciones que 
primero deben restablecerse. 
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Esta identificación se lleva a cabo mediante una evaluación del impacto sobre el negocio 
(Business Impact Assessment o BIA): se identifican los activos críticos, los riesgos que co- 
rren, la probabilidad de que las amenazas se realicen y el impacto sobre el negocio si así 


fuera. 


Como resultado del proceso de BIA, se cuenta con datos cuantitativos que ayudan a 
priorizar las acciones y los gastos en función de los riesgos arrastrados. Por consiguiente, los 
pasos en la realización del BIA son: 


D> 


Identificar las prioridades del negocio. Se crea una lista de todos los procesos de 
negocio ordenada en función de su importancia. También debe decidirse cuál es el 
máximo tiempo tolerable de inactividad (Maximum Tolerable Downtime o MTD), es 
decir, el tiempo máximo que puede tardarse en restablecer el servicio para asegurar 
la supervivencia del negocio. 

Identificar los riesgos, tanto naturales como humanos, a los que está expuesta la 
organización. 

Evaluar la probabilidad de cada una de las amenazas identificadas anteriormente. Se 
suele utilizar la tasa de ocurrencia anualizada (Annualized Rate of Occurrence o 
ARO): cuántas veces se espera que ocurra el mismo desastre en un año. 

Evaluar el impacto de la amenaza si ésta se produce. Se suelen utilizar diferentes 
métricas para cuantificar las pérdidas. El factor de exposición (Exposure Factor o 
EF) representa el porcentaje de valor del activo dañado, destruido o inutilizado por 
una amenaza. La esperanza de pérdida única (Single Loss Expectancy o SLE) es la 
pérdida monetaria esperada cada vez que se materializa la amenaza. Se calcula como 
el producto del factor de exposición (EF) por el valor del activo (Asset Value o AV). 
La esperanza de pérdida anualizada (Annualized Loss Expectancy o ALE) represen- 
ta la pérdida monetaria esperada a lo largo de un año si el suceso se repite con la 
frecuencia dada por el ARO. Se calcula como el producto de ARO por SLE. Por 
supuesto, además de estos factores cuantitativos, el impacto sobre el negocio también 
viene determinado por factores cualitativos, como pérdida de imagen, responsabili- 
dades civiles, pérdida de clientes, etc. 

Priorizar los recursos que se destinarán a combatir los riesgos identificados. Normal- 
mente se ordenan los riesgos en función de su ALE y se empieza atacando los prime- 
ros de la lista. No obstante, no hay que olvidar en esa lista los riesgos cuyo impacto es 
cualitativo y difícilmente mensurable. 


Una vez que se ha realizado la evaluación del impacto de los riesgos sobre el negocio y se 
han determinado las prioridades, se debe planificar e implantar la estrategia de continuidad 
para minimizar el impacto de un desastre. En primer lugar, se debe decidir qué riesgos 


serán: 


D> 


Mitigados, implantando medidas preventivas o correctivas que, aunque no los elimi- 
nen del todo, mitiguen sus efectos si se producen. 

Transferidos, de manera que en vez de encargarse la organización de gestionar el 
riesgo lo haga otra empresa especializada en ese tipo de amenazas. 

Asumidos, es decir, que no se hace nada porque se considera que su impacto es 
suficientemente bajo como para no justificar una acción o suficientemente improba- 
bles o el coste de la contramedida supera con mucho al de la pérdida. 


A la vista de cómo se desea gestionar los riesgos, se deberán diseñar los procedimientos 
y procesos específicos para mitigar aquellos que se consideren inaceptables. Los recursos a 
proteger comprenden tres categorías: el personal, los locales y la infraestructura. 
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Una vez completado el diseño del BCP, éste debe ser aprobado por la dirección. Tras su 
aprobación, deberá implantarse siguiendo un calendario razonable. Además, el plan debería 
comprobarse periódicamente para constatar que está actualizado y que el personal está debi- 
damente entrenado y concienciado. En el Capítulo 1 se ofrece más información sobre gestión 
de la seguridad de la información y sobre gestión de riesgos en particular. 


Plan de recuperación ante desastres 


El plan de recuperación ante desastres (DRP) sirve para prepararse para y recuperarse des- 
pués de un desastre. En general, un incidente se categoriza como desastre cuando se da 
alguna de las siguientes condiciones: 


La organización es incapaz de contener o controlar el impacto de un incidente. 
S El nivel de daño o destrucción causado por un incidente es tan severo que la organi- 
zación no puede recuperarse de él con rapidez. 


La puesta en marcha y la revisión continua de un plan de recuperación de desastres 
permiten volver a la normalidad con el mínimo impacto después de un desastre natural o 
provocado que interrumpa las actividades cotidianas. Existen muchos tipos de desastres po- 
sibles, con un grado variable de severidad y probabilidad de ocurrencia: 


Desastres naturales: temblores de tierra, inundaciones, tormentas e incendios a gran 
escala. 

§ Desastres causados por el hombre: incendios, explosiones, ataques terroristas, 
apagones, errores de hardware/software, huelgas, robo, bajas inesperadas de perso- 
nal clave, vandalismo, ataque hacker o de virus. 


Al igual que ocurría al diseñar el BCP, deben priorizarse las acciones para recuperar en 
primer lugar las unidades de negocio más importantes, para lo cual se confecciona una lista 
ordenada de las unidades y procesos de negocio. Deben identificarse y después eliminarse los 
puntos únicos de fallo. En este sentido, es muy importante tener en cuenta las medidas de 
tolerancia a fallos introducidas en la sección anterior. 

Un requisito indispensable para que el negocio pueda seguir en operación en caso de que 
se produzca un desastre consiste en disponer de locales alternativos a los que trasladarse. 
Algunas grandes corporaciones disponen al efecto de oficinas completamente replicadas: 
puestos de trabajo, equipamiento informático y de red, líneas telefónicas, software, estacio- 
nes de trabajo, etc., pero sin utilizar, lo que se conoce como hot sites. Por supuesto, el coste 
de mantener unas instalaciones totalmente equipadas pero inactivas es prohibitivo. Solucio- 
nes más económicas son la creación de warm sites, que incluyen los locales físicos y los 
servidores y demás equipamiento informático, pero sin software ni estaciones de trabajo de 
usuarios. Los cold sites son locales prácticamente vacíos en los que habría que instalar todo: 
hardware, software, comunicaciones, etc. Evidentemente, en caso de desastre, costaría más 
tiempo levantar un warm site y aún mucho más un cold site. 

Una alternativa más asequible en lugar de mantener desocupadas carísimas infraestructuras 
consiste en el alquiler de oficinas totalmente equipadas y listas para funcionar. Como míni- 
mo, debería buscarse una empresa que alquile este tipo de oficinas, conocer sus precios y 
condiciones de uso, e incluso llegar a un preacuerdo con ella, de manera que si ocurre un 
desastre ya sepa a quién acudir. Estos locales alternativos se usarán hasta que se restablezca 
la situación normal en la sede habitual tras el desastre. 

Aunque ya se mencionó en la sección sobre copias de respaldo, es importante recalcar 
que deben existir copias de seguridad de toda la información crítica en una ubicación alter- 
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nativa por si ocurre un desastre de grandes dimensiones en las oficinas habituales. El lugar 
puede ser otra sede de la empresa, una empresa especializada en prestar este servicio (electronic 
vaulting) o incluso el hogar de los propios trabajadores. Estas copias de seguridad son las 
que deberían llevarse al lugar de operaciones alternativo. El mismo criterio se aplica a docu- 
mentación impresa vital: debería almacenarse una copia en lugar seguro y separado de la 
sede habitual. 


Otros conceptos de seguridad 


En las tres primeras secciones de este capítulo se han explicado algunos de los mecanismos 
más adecuados para garantizar los tres principios básicos de la seguridad, a saber: 
confidencialidad, integridad y disponibilidad. Pero además de los mecanismos explicados, 
existen otros conceptos claves para asegurar el CID, que ya han sido mencionados superfi- 
cialmente: autenticación, autorización, auditoría y no repudio. En esta sección se presentan 
con mayor detalle, aunque la explicación sobre su mejor implantación quedará relegada a 
otros capítulos del libro. 


Autenticación 


Autenticar es identificar a un usuario con un grado aceptable de confianza. Tradicionalmen- 
te, las distintas formas de identificar a los usuarios que intentan acceder a un recurso o 
servicio han girado en torno a tres métodos: 


Restringir el acceso en función de algo que el usuario conoce, como por ejemplo, una 

contraseña 

Restringir el acceso en función de algo que el usuario posee, como por ejemplo, un 

token USB o un certificado digital almacenado de forma segura dentro de una tarjeta 

inteligente (smartcard). 

§ Restringir el acceso en función de algo que el usuario es fisiológicamente. El método 
más implantado es la biometría. 


D> 


Contraseñas 


Se trata de la técnica de autenticación más ampliamente extendida y con la que todos los 
usuarios están familiarizados. 

Irónicamente, se trata también de la forma de autenticación más débil, por una gran 
variedad de motivos: 


Dado que las contraseñas deben recordarse, constituyen secretos de tamaño reducido 
y normalmente se eligen de forma que sean fáciles de recordar. La consecuencia es 
que serán igualmente fáciles de adivinar por un atacante. Por el contrario, si el pro- 
pio sistema las elige aleatoriamente, entonces serán difíciles de recordar, lo que im- 
pulsará a muchos usuarios a apuntarlas o, lo que suele ser peor, las olvidarán. 

Se presentan multitud de ocasiones para robarlas: alguien puede mirar por encima 
del hombro de la persona que está escribiendo su contraseña (shoulder surfing); se 
puede instalar un programa tipo keylogger que registra las pulsaciones de teclado y, 
por tanto, todas las contraseñas; a menudo se transmiten en claro a través de redes 
públicas, con lo cual podrían ser capturadas mediante un sniffer o una conexión en T 
no detectada en la red; pueden robarse del almacén donde se conservan, como el 
SAM de Windows, una base de datos o archivos de texto, cifrados o no, en otras 
aplicaciones. 


D> 
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Â Se pueden compartir fácilmente por varios usuarios y en caso extremo pueden 
publicarse en foros de Internet, con lo que potencialmente millones de usuarios ten- 
drían acceso al recurso protegido. 

S Especialmente cuando son cortas, las contraseñas pueden obtenerse mediante ata- 
ques de fuerza bruta o ataques de diccionario. En el Capítulo 5 se explica cómo 
implantar una directiva de gestión de contraseñas en equipos Windows. También se 
ofrecen consejos sobre cómo elegir contraseñas robustas. 


Certificados digitales 


Los certificados constituyen una tecnología todavía incipiente y un tanto desconocida. Con- 
tienen datos sobre la identidad de su titular, como su nombre, organización, país, dirección 
de correo electrónico, etc. Dado que para acceder a ellos es necesario el conocimiento de una 
clave secreta y/o el acceso a un dispositivo físico como una tarjeta inteligente, presentándo- 
los se asume que su poseedor es quien el certificado atestigua que es. 

Entre sus muchas ventajas se cuentan que sirven para firmar documentos, realizar tran- 
sacciones electrónicas, comprobar la integridad de documentos, formalizar contratos elec- 
trónicos, y mucho más, todo ello con plena validez jurídica desde la entrada en vigor de la 
Ley de Firma Electrónica. 

En contrapartida, a pesar de todas sus virtudes, su complejidad de gestión y problemas 
asociados de difícil solución, como la revocación de certificados, ralentizan la implantación 
de este método de autenticación. Además, siempre que no se utilicen dentro de un dispositivo 
físico seguro protegidos por un PIN, su seguridad se ve seriamente resentida y su capacidad 
real de autenticar usuarios queda en entredicho. En la siguiente sección se explican en deta- 
lle qué son y cómo funcionan los certificados digitales. También se explica cómo almacenar 
los certificados de manera segura. (Véase Figura 3.18.) 


Identificación biométrica 


Por último, la biometría, hasta hace pocos años presente casi exclusivamente en las películas 
de ciencia ficción, está haciendo su entrada en los entornos en red. La identificación del 
usuario se produce en base a rasgos propios e irrepetibles de su persona, como sus huellas 
dactilares, su voz, la geometría de la palma de su mano o la configuración de su retina. Este 
método sí que identifica al usuario, ya que cuando estos dispositivos funcionan correctamen- 
te, sólo un individuo puede ser identificado con éxito, en virtud de una acertada elección de 
los parámetros fisiológicos a evaluar. 





Figura 3.18. Dispositivos físicos para almacenamiento de certificados digitales. 
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Sus limitaciones, no obstante, son también muy grandes. Se trata en general de una 
tecnología muy cara cuando se desea asegurar una identificación casi perfecta, que hace uso 
en muchos casos de técnicas intrusivas, como el escáner de la retina del ojo o la introducción 
de la mano en un dispositivo lector, causando rechazo en los usuarios. Cuando se acude a 
soluciones más baratas, como la identificación de la huella digital, entonces el número de 
falsos positivos (usuarios que se aceptan como válidos sin serlo) y de falsos negativos (usua- 
rios válidos que son rechazados) aumenta hasta el extremo de no poderse confiar en ellos. 
Además, su uso se ve restringido a pequeños entornos, oficinas o edificios, siendo impensa- 
ble por el momento su despliegue en Internet a gran escala. 

Los dispositivos de identificación biométrica poseen un grado de sensibilidad variable 
que puede ajustarse para controlar el tipo de error producido. Si el dispositivo es muy sensi- 
ble, muchos usuarios válidos no serán identificados como tales, aumentándose la tasa de 
falsos negativos (False Rejection Rate o FRR). Por el contrario, si el dispositivo es poco 
sensible, usuarios inválidos serán identificados como válidos, aumentándose la tasa de falsos 
positivos (False Acceptance Rate o FAR). Si ambas tasas de error se representan simultánea- 
mente en una gráfica, se puede encontrar cuál es el ajuste óptimo de la sensibilidad del 
dispositivo biométrico: el punto de corte de las dos curvas, conocido como CER (Crossover 
Error Rate). En la mayoría de las circunstancias interesa que la sensibilidad sea mayor que 
el CER, como por ejemplo, en un detector de metales en un aeropuerto. (Véase Figura 3.19.) 


Autenticación multifactor 


En definitiva, los mejores métodos de control de acceso son aquellos que hacen uso de una 
combinación de los tres mencionados, lo que se conoce como autenticación multifactor. En 
el futuro serán comunes los lectores de tarjetas en el propio teclado del ordenador, para leer 
los certificados almacenados en tarjetas inteligentes, protegidos por contraseña, junto con 
algún dispositivo de identificación biométrica, como por ejemplo un ratón que lea la huella 
dactilar. 


Autorización 


No es suficiente identificar correctamente a un usuario. Hay que saber además lo que éste 
puede o no puede hacer una vez ha entrado en el sistema. 


FAR FRR 
% 


CER 
Sensibilidad 


Figura 3.19. Gráfica de FRR y FAR de un dispositivo de identificación biométrica. 
El punto CER representa el funcionamiento óptimo. 
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En los entornos Windows, la forma de autorización más utilizada consiste en el uso de: 


Listas de control de acceso (Acces Control Lists o ACL), que gobiernan los permisos 

y privilegios de los usuarios. 

Control de acceso basado en la identidad del propio código que se intenta ejecutar, 

novedad introducida con .NET Framework. 

8 Control de acceso basado en reglas o filtros para determinar quién puede acceder o 
no al sistema, al estilo de cortafuegos, sistemas de detección de intrusos, proxies y 
routers. 


D> 


Listas de control de acceso 


Con el fin de facilitar la administración de las ACL, los usuarios pueden agruparse en dife- 
rentes grupos. De esta manera, en lugar de configurar los permisos para cada usuario indivi- 
dualmente, pueden crearse grupos de usuarios, asignar los permisos correspondientes a cada 
grupo y finalmente incluir a cada usuario en los grupos que le correspondan. Si llega un 
nuevo usuario, basta con añadirle a los grupos adecuados para que disponga de los privile- 
gios de acceso necesarios. Si en un momento dado hay que garantizar o revocar un permiso 
concreto, con hacerlo en el grupo en cuestión el cambio se heredará automáticamente por 
todos los usuarios pertenecientes a dicho grupo. 

Cuando se crean grupos y se asignan permisos a los mismos, para después incluir distin- 
tos usuarios en los grupos, hay que regirse siempre por el principio del mínimo privilegio: 
los usuarios deben contar con los permisos mínimos imprescindibles que les permitan com- 
pletar normalmente sus tareas. La mayor parte de problemas de seguridad se derivan de una 
asignación excesiva e innecesaria de privilegios. 

En el Capítulo 5 se explica cómo utilizar adecuadamente las ACL para restringir el 
acceso al sistema de archivos. 


Identidad de código 


El mayor problema de los sistemas de seguridad basados en la identidad del usuario como las 
ACL reside en la granularidad de usuario que introducen: cualquier código que se ejecute en 
nombre del usuario lo hará en su contexto de seguridad, con los mismos privilegios de acceso 
a los recursos protegidos. Es decir, no se hace ninguna distinción de confianza respecto al 
código mismo. 

Esta limitación abre la puerta a todo tipo de ataques procedentes del código móvil mali- 
cioso, como los virus. En cambio, la plataforma .NET incorpora un sistema de seguridad 
basado en la identidad del código, llamado seguridad de acceso a código (Code Access Security 
o CAS). 

Los sistemas de seguridad basados en la identidad del código autentican al propio código 
mediante la recopilación de información acerca del origen del mismo. Por ejemplo, .NET 
recopila entre otros datos la siguiente información acerca de un fragmento de código: sitio de 
origen, URL de origen, firma authenticode (si está presente), firma de nombre seguro o 
strong name (si está presente) y hash del ensamblado. 

De esta forma, la seguridad basada en la identidad del código sirve para complementar la 
seguridad basada en la identidad del usuario. El código ejecutado en nombre del usuario está 
sujeto a ulteriores limitaciones de confianza en función de su origen. Los derechos de acceso 
del código que ejecute el usuario serán la intersección de sus derechos como usuario y de los 
derechos del código, de manera que siempre se aplicarán las medidas más restrictivas. Por 
tanto, cuando ambos modelos de seguridad conviven, las limitaciones impuestas al código 
dependerán tanto del usuario que lo ejecuta como del origen del propio código. 
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Reglas de filtrado 


El funcionamiento de este tipo de reglas normalmente tampoco se basa en la identidad del 
usuario, sino en la procedencia o en el tipo de protocolo utilizado o en el contenido de la 
petición enviada para acceder a un sistema. El administrador configura estas reglas en el 
dispositivo correspondiente (cortafuegos, sistema de detección de intrusos, proxy, router, 
etcétera) y se aplicarán a todos los usuarios por igual. Son de especial utilidad para limitar el 
acceso a recursos de red. En el Capítulo 4 se describen las reglas de filtrado utilizadas para 
configurar cortafuegos, proxies y routers. En el Capítulo 6 se explica cómo configurar un 
sistema de detección de intrusos (IDS). 


Auditoría 


La auditoría constituye uno de los servicios de seguridad básicos para mantenerse informado 
en todo momento de lo que está sucediendo o ha sucedido en el sistema: intentos de co- 
nexión, páginas solicitadas, modificaciones de archivos, cambios de contraseñas, etc. 

Gracias a los registros de actividad (logs), el administrador puede saber cuándo y cómo 
fue atacado un sistema y qué porciones fueron atacadas. Dado que estos logs registran todas 
las acciones del atacante en el servidor, suelen constituir el primer blanco de ataque, ya que 
el intruso intentará borrar de ahí sus rastros. Por este motivo, resulta fundamental proteger- 
los adecuadamente, de manera que sólo sean accesibles por los administradores y el propio 
sistema. En el Capítulo 6 se explica cómo configurar la auditoría de sistemas, redes y aplica- 
ciones. 


No repudio 


El no repudio busca reunir, mantener, hacer disponible y validar una evidencia irrefutable en 
relación a un suceso o acción con el fin de resolver disputas acerca de la ocurrencia o no de 
dicho suceso o acción. El no repudio suele revestir dos formas: 


No repudio de origen: Se utiliza para impedir la negación de un emisor de haber 
enviado los datos. 

8 No repudio de entrega: Se utiliza para impedir la negación de un destinatario de 
haber recibido los datos. 


El no repudio es un servicio típicamente ofrecido por medio de una firma electrónica 
adjuntada a los datos, ya que debido a la imposibilidad de ser falsificada testimonia que el 
signatario, y solamente él, pudo haber firmado el documento o la transacción. La combina- 
ción de autenticación fuerte, autorización y auditoría proporciona también otros mecanis- 
mos de no repudio. Las firmas electrónicas se tratan en la siguiente sección. 


Firmas electrónicas y certificados digitales 


Las infraestructuras de clave pública (Public Key Infrastructure o PKI) constituyen una de 
las formas más avanzadas y fiables de dotar de seguridad a aplicaciones distribuidas en red. 
Ofrecen un conjunto de aplicaciones y servicios para poder utilizar de forma eficiente y 
sencilla las complejidades de la criptografía de clave pública. Su mayor logro reside en 
posibilitar las comunicaciones seguras con otros usuarios o redes sin necesidad de conocer- 
los con anterioridad ni establecer relaciones previas con ellos. 

Una PKI está integrada por una serie de elementos interrelacionados entre sí de formas 
complejas, que pasarán a explicarse a lo largo de las siguientes secciones: 
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Firmas electrónicas. 

Certificados digitales. 

Entidades emisoras de certificados o autoridades de certificación (CA). 
Listas de revocación de certificados (CRL). 


uN DD» 


Firmas electrónicas 


El fundamento sobre el que se apoyan las firmas electrónicas es la criptografía. Esta discipli- 
na matemática no sólo se encarga del cifrado de textos para lograr su confidencialidad, 
protegiéndolos de ojos indiscretos, sino que también proporciona mecanismos para asegurar 
la integridad de los datos y la identidad de los participantes en una transacción. 

El cifrado consiste en transformar mediante un algoritmo un texto en claro inteligible 
por todos en un texto cifrado, totalmente ininteligible excepto para el legítimo destinatario 
del mismo. Se distinguen dos métodos generales de cifrado: el cifrado simétrico y el cifrado 
asimétrico. En general, el cifrado simétrico, por ser muy rápido, se utiliza para cifrar gran- 
des volúmenes de datos. El cifrado asimétrico, siendo mucho más lento debido a la comple- 
jidad de las operaciones matemáticas que realiza, se emplea para cifrar las claves de sesión 
utilizadas por algoritmos de cifrado simétrico para cifrar documentos. De este modo las 
claves de sesión pueden ser transmitidas sin peligro a través de la Red junto con el documen- 
to cifrado, para que en recepción éste pueda ser descifrado. La clave de sesión se cifra con la 
clave pública del destinatario del mensaje, que aparecerá normalmente en una libreta de 
claves públicas. Por su parte, el cifrado asimétrico se emplea también para firmar documen- 
tos y autenticar entidades. 

Los protocolos de firma digital se implantan junto con funciones unidireccionales de 
resumen (funciones hash), de manera que lo que en realidad se firma es un resumen (el hash) 
del documento. Este mecanismo implica el cifrado, mediante la clave privada del emisor, del 
resumen de los datos, que serán transferidos junto con el mensaje. Una vez en el receptor, el 
mensaje se procesa debidamente para verificar su integridad. Por tanto, los pasos del proto- 
colo de firma digital son: 


1. Alicia genera un hash del documento. 

2. Alicia cifra el hash con su clave privada, firmando por tanto el documento, ya que 
nadie excepto Alicia conoce dicha clave privada y por tanto solamente ella podría 
haber realizado la operación de cifrado. 

3. Alicia envía el documento junto con el hash firmado a Bernardo. 

4. Bernardo genera un hash del documento recibido de Alicia, usando la misma fun- 
ción de hash. 

5. Después Bernardo descifra con la clave pública de Alicia, que, como su nombre 
indica, es conocida por todos, el hash firmado. 

6. Si el hash firmado coincide con el hash que Bernardo ha generado, la firma es 
válida. (Véase Figura 3.20.) 


Este proceso de verificación de la firma digital ofrece conjuntamente los servicios de: 


No repudio, ya que nadie excepto Alicia podría haber firmado el documento, por lo 

que no puede desdecirse y alegar que ella no lo firmó. 

Autenticación, ya que si el documento viene firmado por Alicia, se puede estar segu- 

ro de su identidad, dado que sólo ella ha podido firmarlo. 

8 Integridad, ya que en caso de que el documento sea modificado durante su transmi- 
sión, resultaría imposible hacerlo de forma tal que se generase el mismo hash que 
había sido firmado. 
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Figura 3.20. Proceso de firma digital. 





La función de hash reduce el mensaje de partida a un valor de menor longitud, de forma 
que éste sirve como representación compacta del mensaje original, pudiendo aplicársele el 
correspondiente cifrado sin problemas graves de eficiencia en las comunicaciones. El hash 
siempre tiene la misma longitud (128 bits para MDS y 160 bits para SHA-1), mientras que el 
documento cuyo hash se calcula puede tener una longitud arbitraria. Ahora bien, para que 
una función hash sea criptográficamente segura es necesario que verifique la propiedad de 
resistencia a las colisiones, lo que garantiza la dificultad para encontrar mensajes distintos 
con idénticos resúmenes. 

En caso contrario, las firmas digitales podrían ser objeto de los conocidos como “ataques 
del cumpleaños”, basados en la construcción de mensajes falsos con hashes (y consecuente- 
mente firmas) conocidos. 


Certificados digitales 


A la vista de este esquema de funcionamiento de las firmas digitales, se plantea un problema 
evidente de confianza que puede originar varios interrogantes: 


¿Cómo tener certeza de que la clave pública de un usuario corresponde realmente a 
ese individuo y no ha sido falsificada por otro? 
A ¿Por qué fiarse de esa clave pública antes de confiarle algún secreto? 
§ ¿Quién verifica la identidad del poseedor de la clave pública? 


Todas estas preguntas encuentran su respuesta en la figura de los certificados digitales. 
Se trata de documentos electrónicos cuya misión consiste en garantizar la identidad de su 
titular. Al igual que sucede en el caso del DNI o del pasaporte, los certificados digitales 
contienen de forma estructurada información relevante acerca de su portador y de la entidad 
que lo emitió: 


El código identificativo único del certificado. 
A La identificación del prestador de servicios de certificación que expide el certificado, 
es decir, de la autoridad de certificación, de las que se hablará más adelante. 


D> 


D> 


D> 


> 


Capítulo 3: CID: Confidencialidad, Integridad, Disponibilidad 153 


La firma electrónica avanzada del prestador de servicios de certificación que expide 
el certificado y que da fe de que el certificado expedido es válido y ha sido emitido de 
acuerdo con sus prácticas de certificación. 

La identificación del signatario, por su nombre y apellidos o a través de un seudón1- 
mo que conste como tal de manera inequívoca (a menudo se incluyen otros datos, 
como su página Web personal o su dirección de correo electrónico o alguna otra 
información relevante para el uso de que será objeto el certificado). 

Los datos de verificación de firma (es decir, la clave pública) que se corresponden 
con los datos de creación de firma que se encuentran bajo el control del signatario 
(o lo que es lo mismo, su clave privada), de manera que se produce la vinculación 
exclusiva del interesado con las claves. 

El comienzo y el fin del período de validez del certificado, fuera de los cuales no 
podrá utilizarse. 

Los límites de uso del certificado, si se prevén, como por ejemplo compra a través de 
Internet, acceso a bancos, exclusión de ciertos contratos como préstamos y fianzas, 
identificación ante servidores en una red local, etc. 

Los límites del valor de las transacciones para las que puede utilizarse el certificado, 
si se establecen. De esta forma se controla que con un certificado determinado 
no puedan efectuarse compras por importe superior a un valor especificado en el 
mismo. 


En definitiva, un certificado digital no es más que una ristra de bits que contiene una 
clave pública y un conjunto de atributos, todo ello firmado por una autoridad de certifi- 


cación. 


Es precisamente esta firma lo que proporciona confianza a quien recibe el certificado de 
que la clave pública que contiene el certificado en realidad corresponde a la persona cuyos 
atributos aparecen también en el certificado. 

Sirviéndose de estos certificados, sus titulares podrán realizar una gran cantidad de ac- 
ciones en todo tipo de redes: 
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Acceder por medio de su navegador a sitios Web restringidos, a los cuales les deberá 
presentar previamente el certificado, cuyos datos serán verificados y en función de 
los mismos se le permitirá o denegará el acceso. 

Enviar y recibir correo electrónico cifrado y firmado. 

Entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empre- 
sa, donde se le pedirá que presente su certificado, posiblemente almacenado en una 
tarjeta inteligente. 

Firmar software para su uso en Internet, como applets de Java o controles ActiveX de 
Microsoft, de manera que puedan realizar acciones en el navegador del usuario que 
de otro modo le serían negadas 

Firmar cualquier tipo de documento digital, para uso privado o público. 

Obtener confidencialidad en procesos administrativos o consultas de información 
sensible en servidores de la Administración. 

Realizar transacciones comerciales seguras con identificación de las partes, como en 
SSL, donde se autentica al servidor Web. 


Actualmente, el estándar al uso en este tipo de certificados es el X.509v3, soportado por 
los servicios de Windows. Las extensiones estándar para los certificados de esta versión 
pueden incluir además nombres y atributos alternativos, restricciones de la ruta de certifica- 
ción y mejoras para la revocación de certificados, incluyendo razones para revocar y parti- 
ción de CRL mediante la renovación de CA. 
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Información almacenada en certificados 


Cuando se examina el contenido de un certificado abriéndolo con Windows, la ventana 


Certificado posee tres fichas: 


Ficha General: Detalla los usos admitidos del certificado, la entidad a la que se ha 
emitido el certificado y el período de validez del mismo. 
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Ficha Ruta de certificación: Indica la ruta de acceso del certificado a una entidad 


emisora de certificados raíz de confianza, permitiendo examinar su certificado raíz 
así como los certificados de la entidad emisora de certificados subordinada. También 
informa de si la entidad emisora de certificados raíz es de confianza o no y del estado 


del certificado. 


S Ficha Detalles: Contiene una gran cantidad de información, mostrada en la Tabla 3.11. 


En el caso de que existiesen extensiones X.509v3 adicionales, también se mostrarían. 
Estas extensiones toman el formato: 


[Tipo de extensión][Crítico/No críticol[Valor del campo de extensión] 


Tabla 3.11. Información contenida dentro de los certificados digitales. 


Campo Certificado 


Versión 
Número de serie 


Algoritmo de firma 
Emisor 
Válido desde 


Válido hasta 
Asunto 


Clave pública 
Algoritmo de huella digital 


Huella digital 
Nombre descriptivo 


Uso mejorado de claves 


Descripción 


El número de versión de X.509, 

El número de serie único que asigna la entidad emisora 
de certificados al certificado. El número de serie es 
único para todos los certificados emitidos por una 
entidad emisora de certificados determinada. 

El algoritmo hash que utiliza la entidad emisora de 
certificados para firmar digitalmente el certificado. 
Información acerca de la entidad emisora de 
certificados que ha emitido el certificado. 

La fecha en que el certificado empieza a ser válido. 
La fecha en que el certificado deja de ser válido. 

El nombre del individuo o la entidad emisora de 
certificados para quien se ha emitido el certificado. 

Si la entidad emisora de certificados existe en un 
servidor miembro de dominio en la empresa, será un 
nombre completo dentro de ella. De otro modo, puede 
ser un nombre completo o una dirección de correo 
electrónico, o algún otro identificador personal. 

El tipo de clave pública y la longitud asociada con 

el certificado. 

El algoritmo hash que genera una síntesis de datos 

(o huella digital) para las firmas digitales. 

La síntesis (o huella digital) de los datos del certificado. 
(Opcional) Un nombre descriptivo, o común, para 

el nombre en el campo Asunto. 

(Opcional) Los propósitos para los que se puede 
utilizar este certificado. 
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Se pueden agrupar en cuatro categorías generales: 


Información de clave y de política: Añaden información adicional sobre las políticas 
de los certificados, usos válidos, identificadores de clave adicionales, etc. 


Â Limitaciones de la ruta de certificación: Se utilizan a la hora de definir una jerarquía 
de certificación. 
A Atributos del sujeto y del emisor: Sirven para añadir otros atributos de identifica- 


ción, tanto del sujeto como de la entidad emisora de certificados. 
8 Atributos de la lista de revocación del certificado: Proporcionan información adicio- 
nal sobre la revocación de los certificados emitidos. 


Formatos de archivo de certificado estándar 


Los estándares de criptografía de clave pública (Public-key Cryptography Standards o PKCS), 
cuyo desarrollo dio comienzo en 1991 tras la iniciativa de RSA, constituyen un conjunto de 
especificaciones de seguridad que conforman la base de la mayor parte de productos y solu- 
ciones de PKI de la actualidad. PKCS proporciona estándares para la implementación de los 
detalles criptográficos de toda PKI, como cifrado RSA, intercambio de claves Diffie-Hellman, 
cifrado simétrico, sintaxis de extensiones de certificados, sintaxis de mensajes criptográficos 
y de peticiones de certificados, y un larguísimo etcétera, que cubre la práctica totalidad de los 
requisitos de operación con una PKI. 

Actualmente, PKCS comprende doce documentos, numerados desde el #1 hasta el #15 
(con algunos huecos debidos a documentos que finalmente han sido incluidos dentro de 
otros). Merece la pena prestar atención a los siguientes: 


Sintaxis estándar de intercambio de información personal (PKCS #12). 
A Sintaxis estándar de mensajes criptográficos (PKCS +7). 
8 Sintaxis estándar de petición de certificados (PKCS +10). 


Sintaxis estándar de intercambio de información personal (PKCS #12) 


El formato Intercambio de información personal (Personal Information Exchange o PFX, 
también llamado PKCS +12) permite la transferencia de certificados y sus claves privadas 
correspondientes de un equipo a otro a través de red o de un equipo a un medio extraíble 
como un disquete. 

PKCS +12 resulta apropiado para transportar o hacer copias de seguridad y restaurar un 
certificado y su clave privada asociada. Se puede dar entre productos del mismo o de distin- 
tos proveedores, por ejemplo, entre Internet Explorer y Netscape Communicator. 

Para utilizar el formato PKCS +12, el proveedor de servicios criptográficos (Cryptographic 
Service Provider o CSP) debe reconocer el certificado y las claves como exportables. Ya que 
la exportación de una clave privada puede exponerla a atacantes, el formato PKCS #12 es el 
único admitido en Windows 2000 para exportar un certificado y su clave privada asociada. 


Sintaxis estándar de mensajes criptográficos (PKCS #7) 


El formato PKCS +7 constituye un marco general para la firma y cifrado de objetos de 
información. Los archivos PKCS +7 utilizan normalmente la extensión .P7B. 

Por ejemplo, S/MIME v2 es una reelaboración de PKCS +7 y MIME aplicada al proceso 
de proteger los mensajes codificados en formato MIME. Por otro lado, Authenticode, la 
tecnología de firma de software de Microsoft, es otra elaboración desarrollada a partir de 
PKCS #7 para proteger objetos y código de Windows. 
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Sintaxis estándar de petición de certificados (PKCS 3110) 


El estándar PKCS +10 especifica el formato de un mensaje que representa la petición de un 
certificado digital por parte de un sujeto. Establece los procedimientos de manipulación para 
la creación y procesamiento de los mensajes. Normalmente, el mensaje de respuesta del 
emisor de certificados en un certificado X.509 empaquetado en un sobre PKCS +7. 


Tipos de certificados 


En función del propósito para el que vayan a ser utilizados, existen diferentes tipos de certi- 
ficados: de servidor, personales, de edición de software, de entidad emisora de certificados, 
etcétera. 


Certificados de servidor 


Permiten la identificación de los servidores que utilizan canales de comunicaciones seguras 
con SSL. Mediante la presentación del certificado, los servidores pueden probar su identidad 
ante los navegadores que visitan sus páginas. Tranquilizan así a los usuarios antes de que 
éstos les envíen sus datos confidenciales. 


Certificados personales 


Sirven para validar la identidad de los individuos en sus operaciones a través de Internet. 
Los hay de dos tipos: 


Certificados de explorar Web: Aunque poco usados en la actualidad en aplicaciones 
en Internet, sirven al propósito de autenticar a sus titulares ante servidores Web 
remotos a través de canales SSL. Este tipo de autenticación se se explicó anterior- 
mente en este mismo capítulo. 

8 Certificados de correo electrónico: De uso más extendido en Internet, sirven para 
enviar y recibir correo electrónico firmado y cifrado. Son utilizados por el estándar 
de correo seguro S/MIME (Security for Multipart Internet Mail Extensions). 


Certificados de edición de software 


Se utilizan para la firma de software distribuido a través de Internet. Su objetivo es resolver 
el grave problema de inseguridad y desconfianza al que se enfrentan los usuarios cuando 
adquieren software, gratuito o de pago, a través de Internet: ¿cómo pueden estar seguros de 
quién los creó? En el mundo físico, cuando se compra un paquete de software en una tienda 
de informática, éste viene dentro de una caja, con una serie de logotipos, sellos y hologramas, 
avalados por el propio comercio. Para alcanzar el mismo nivel de confianza cuando se distri- 
buye por Internet, el software debe ir acompañado de un equivalente digital de estas garan- 
tías de autenticidad. En este caso, se trata del certificado digital, que garantiza el origen del 
software. Nótese bien que el certificado digital no garantiza la seguridad ni el buen funciona- 
miento del software, sino solamente la identidad del fabricante. 


Certificados de entidad emisora de certificados 


Tal y como se explica más adelante, existen dos tipos de entidades emisoras de certificados: 
las autoridades raíz y las autoridades subordinadas. Mientras que las autoridades raíz se 
certifican a sí mismas y a otras autoridades, las subordinadas solamente pueden emitir certi- 
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ficados para otras entidades subordinadas. Estos certificados son precisamente los que se 
denominan certificados de entidad emisora de certificados y posibilitan la creación de jerar- 
quías de certificación. 

La principal ventaja de esta organización jerárquica consiste en que la verificación de los 
certificados requiere confianza en una cantidad relativamente pequeña de autoridades raíz. 
Si se confía en la autoridad raíz de una jerarquía se está confiando implícitamente en todas 
las entidades subordinadas que han sido certificadas por la autoridad raíz. 


Cómo conseguir un certificado digital de prueba 


Ya se ha hablado mucho hasta el momento de los certificados digitales. Pero, ¿cómo se puede 
obtener uno para utilizarlo con Outlook Express o con Netscape, con el fin de enviar y recibir 
correos cifrados y/o firmados? Para obtener un certificado, necesita solicitarlo a una autori- 
dad de certificación. En esta demostración, se solicitará a VeriSign, líder mundial en el 
mercado. Ahí van los pasos que hay que seguir, explicados de manera sencilla para todos: 


1. Conéctese al centro de identificadores digitales de VeriSign en digitalid.verisign.com. 

2. Seleccione Personal IDs. 

3. Pulse el botón Buy Now. No se asuste puesto que, a pesar del nombre del botón, 
podrá obtener uno de prueba para 60 días sin pagar ni un euro. En la fecha de publi- 
cación de este libro, la dirección a la que conducía este enlace era www.verisign.com/ 
client/enrollment. 

4. Pulse el botón Enroll Now, para solicitar un identificador Class 1 Digital ID, que le 
permitirá enviar y recibir correo cifrado. Para seguir adelante necesita contar con 
una dirección de correo válida, ya que este certificado quedará ligado a ella. 

5. Rellene cuidadosamente los campos del formulario. Si no desea pagar, puede obtener 
un certificado de 60 días de validez. En este caso, no rellene la información de pago, 
que no hace falta. Observe que la conexión es segura, con el fin de que sus datos 
viajen de forma privada. Puede verificar la identidad del sitio Web al que está en- 
viando sus datos personales haciendo clic sobre el candado de la barra de estado. 
Asegúrese de que selecciona la opción de pedir un certificado de prueba, ¡no uno de 
pago! Cuando haya terminado, pulse el botón Accept. 

6. A continuación el navegador generará su pareja de claves pública y privada. En el 
caso de que esté utilizando Internet Explorer, deberá permitir la ejecución de contro- 
les ActiveX. 

7. Cuando el proceso anterior termina, se le conduce a una página donde se le informa 
que debe comprobar su correo en busca de instrucciones acerca de cómo conseguir su 
certificado. Esta información consiste en la dirección URL de una página Web y 
un PIN. 

8. Cuando reciba el citado correo, utilice ¡el mismo ordenador y el mismo navegador! 
para conectarse a ese URL e introduzca el PIN si es que no se lee automáticamente 
(dependerá del cliente de correo que utilice). 

9. Presione el botón Install y el navegador le guiará a través del proceso de instalación 
de su certificado. 


Almacenamiento seguro de certificados digitales 


La forma más extendida de almacenamiento de los certificados consiste en utilizar el disco 
duro sin más. En estas circunstancias, un atacante podría robar el certificado junto con su 
clave privada. En muchos entornos, especialmente el doméstico, es muy frecuente que varias 
personas accedan al ordenador utilizando la misma cuenta o que las cuentas no se protejan 
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con contraseñas o que las contraseñas sean fáciles de adivinar. Si el certificado no se ha 
protegido a su vez con contraseña, podría ser utilizado ilegítimamente para suplantar a su 
titular. 

Por todos estos motivos, conviene siempre almacenar los certificados en un lugar segu- 
ro. La mejor opción es la utilización de una tarjeta inteligente o smartcard. Tradicionalmen- 
te, el mayor obstáculo para la utilización de tarjetas inteligentes ha sido la necesidad de 
adquirir un lector de tarjetas. Hoy en día existen tarjetas inteligentes con interfaz USB, que 
no requieren adquirir ningún periférico especial (véase la Figura 3.18). Plantéese seriamente 
la opción de las tarjetas inteligentes USB si piensa utilizar certificados digitales en alguna 
aplicación segura de su empresa: acceso remoto seguro a través de VPN, acceso al Web 
corporativo, inicio de sesión en Windows, correo seguro, firma de documentos electrónicos, 
etcétera. 


Autoridades de certificación 


El certificado digital incorpora información sobre su titular que debe ser contrastada por 
algún tipo de autoridad competente, para que se dote así de validez al documento acreditati- 
vo. En el contexto electrónico, la función básica de una autoridad de certificación (Certification 
Authority o CA) o prestador de servicios de certificación (PSC) reside en verificar 
fehacientemente la identidad de los solicitantes de certificados (toda la información conten1- 
da en el campo Asunto del certificado), crear y emitir a los solicitantes dichos certificados y 
publicar listas de revocación (Certificate Revocation List o CRL) cuando éstos son inuti- 
lizados. 

Se contempla que cualquier entidad u organización pública o privada se constituya en 
PSC, fomentando así la libre competencia también en este mercado. Ahora bien, para que 
una persona física o jurídica se erija en la figura de autoridad de certificación es necesario 
que cumpla una serie de obligaciones exigibles a todos los prestadores de servicios de certi- 
ficación que expidan certificados reconocidos, entre las que destacan, según la Ley de firma 
electrónica: 


La comprobación de la identidad de los solicitantes de los certificados, ya que si esta 
verificación no se realiza rigurosamente, toda la infraestructura de certificados y 
firmas digitales pierde por entero su validez. 
No almacenar las claves privadas de los usuarios, para preservar su privacidad y 
evitar la posibilidad de que sean suplantados, ya que hasta cierto punto puede decirse 
que la identidad digital de un usuario reside en su clave privada. 
Informar debidamente a los solicitantes acerca de precios y condiciones de utiliza- 
ción de los certificados, precios que estarán regidos por el mercado en régimen de 
libre competencia. 
Mantener un registro de todos los certificados emitidos y de su estado de validez. 
Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado. 
Poseer una serie de garantías técnicas que demuestren la fiabilidad necesaria de sus 
servicios, la rapidez y la seguridad en la prestación de los mismos, el empleo de 
personal cualificado y con la experiencia necesaria para dicha prestación, la utiliza- 
ción de sistemas y productos fiables protegidos contra toda alteración, la toma de 
medidas contra la falsificación de certificados y el uso de sistemas fiables para 
almacenarlos. 

8 Conservar registrada toda la información y documentación relativa a un certificado 
reconocido durante quince años, con el fin de garantizar que los certificados puedan 
ser aportados como prueba en los procesos judiciales que pudieran surgir en relación 
con el uso de la firma. 


D> 
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Por otro lado, la Ley define claramente las garantías económicas de los prestadores de 
servicios de certificación, a los que se les exige un seguro de responsabilidad civil para cubrir 
posibles perjuicios, en los cuales se demuestre su responsabilidad, bien por negligencia, bien 
por algún fallo de seguridad o técnico en sus equipos, de hasta un 4% del límite total del 
valor de las transacciones a que se refieran las certificaciones emitidas, estableciéndose ade- 
más un régimen disciplinario que puede llevar al cese de la actividad de la empresa. 

Cuando la CA ha verificado la exactitud de la información contenida en la solicitud de 
certificación, utiliza su clave privada para aplicar su firma digital al certificado. A continua- 
ción, la CA emite el certificado a su titular para que éste lo utilice como credencial de segu- 
ridad dentro de la infraestructura de claves públicas. 

Todas las CA poseen además un certificado que confirma su propia identidad, emitido 
por otra CA de confianza o, en el caso de las CA raíz, emitido por sí misma. Dado que 
cualquiera puede crear su propia CA, debe resolverse la cuestión de si, presentado un certi- 
ficado, se confía en la CA que lo expidió y, por extensión, en las directivas y los procedimien- 
tos que la CA lleva a cabo para confirmar la identidad de los certificados de entidades 
emitidos por dicha CA. 

Una CA raíz debe ser el tipo de CA de mayor confianza en la infraestructura de claves 
públicas de una organización. Normalmente, tanto la seguridad física como la directiva de 
emisión de certificados de una CA raíz son más rigurosas que las de las CA subordinadas. Si 
la CA raíz está comprometida o emite un certificado a una entidad no autorizada, cualquier 
seguridad basada en certificados de la organización quedará vulnerable de forma inmediata. 
Si bien las CA raíz pueden utilizarse para emitir certificados a los usuarios finales para 
tareas tales como el envío de correo electrónico seguro, en casi todas las organizaciones sólo 
se utilizarán para emitir certificados a otras CA, denominadas CA subordinadas. 

Una CA subordinada es aquélla que ha recibido un certificado de otra CA de la organiza- 
ción. Normalmente, una CA subordinada emitirá certificados para usos específicos, como 
correo electrónico seguro, autenticación basada en Web o autenticación de tarjetas inteligen- 
tes. Las CA subordinadas también pueden emitir certificados a otras CA más subordinadas. 
Una CA raíz, las CA subordinadas que han recibido un certificado de la raíz y las CA subor- 
dinadas que han recibido un certificado de otra CA subordinada, todas juntas forman una 
jerarquía de certificados. 

Windows 2000/2003 incluye una entidad emisora de certificados (CA) que permite des- 
plegar de forma relativamente sencilla una jerarquía de certificación mediante la instalación 
de una CA de empresa y/o de una CA independiente. Gracias a los servicios de la CA inde- 
pendiente se pueden recibir solicitudes de certificados, comprobar la información de la soli- 
citud y la identidad del solicitante, emitir los certificados cuando corresponda, revocar 
certificados si fuera necesario y publicar una lista de certificados revocados (CRL). Para 
realizar su función, la CA utiliza módulos de directivas, es decir, un conjunto de instruccio- 
nes o reglas para procesar las solicitudes de certificados, emitir certificados, revocar certifi- 
cados y publicar las listas de revocaciones de certificados. 

La entidad emisora de certificados de Windows se accede desde Inicio>Herramientas 
administrativas>Entidad emisora de certificados. Si no aparece o da un error al iniciarse, 
se debe a que no está instalada, ya que no viene instalada por defecto. Para instalarla: 


1. Seleccione Inicio>Panel de control>Agregar o quitar programas. 

2. Pulse el botón Agregar o quitar componentes de Windows y verifique la casilla 
Servicios de Certificate Server. 

3. Pulse el botón Siguiente y siga obedientemente las instrucciones del Asistente. Nece- 
sitará tener a mano el disco de instalación de Windows 2000 o 2003. Para acceder 
con comodidad a los servicios de certificación, conviene que tenga instalado y ejecu- 
tándose Internet Information Services (IS) en el servidor en el que esté instalando la 
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entidad emisora de certificados. Si no lo había hecho, se le recomienda que instale 
IIS previamente. 


Una vez instalada la entidad emisora de certificados, puede conectarse a ella con su 
navegador. Cada entidad emisora de certificados instalada en un servidor de Windows 2000/ 
2003 expone al público un conjunto de páginas Web a las que cualquier usuario puede gozar 
de acceso para enviar solicitudes de certificados básicas y avanzadas. De forma predeterm1- 
nada, estas páginas se encuentran en 


http: WServidoricertsryv 


donde Servidor es el nombre del servidor de Windows 2000/2003 que aloja a la entidad 
emisora de certificados. 

Un usuario puede conectarse a la CA mediante Internet Explorer 3.0 o versión posterior 
o con un explorador como Netscape Navigator 3.0 o versión posterior. El proceso de petición 
del certificado acontece como sigue: 


1. Conéctese a la CA y seleccione la opción Solicitar un certificado. 

2. Elija el tipo de solicitud deseado: Certificado de explorador Web, para autenticarse 
ante un servidor Web, o Certificado de protección de correo electrónico, para el 
envío y recepción de mensajes de correo electrónico cifrados y/o firmados. En este 
caso se selecciona la primera opción. 

3. A continuación, rellene un formulario con todos sus datos personales, que son los 
que aparecerán en el propio certificado digital, ligados a su clave pública. 

4. Un control ActiveX establece una sesión con un proveedor de servicios de cifrado 
(CSP) de su equipo que genera una pareja de claves, una pública y otra privada. La 
clave pública del usuario se envía con sus datos de identificación necesarios a la 
entidad emisora de certificados. La clave privada nunca abandona su equipo ni se 
revela a terceros, ni siquiera a la CA. 

5. Silos datos de identificación del usuario cumplen los criterios de la entidad emisora 
de certificados para la concesión de una solicitud, la entidad emisora de certificados 
genera el certificado que recupera la aplicación del cliente y lo guarda localmente. 
La solicitud de certificado puede ser procesada inmediatamente por la CA o, de for- 
ma predeterminada, considerarse pendiente hasta que el administrador de la CA 
apruebe o rechace la petición. En el caso de una petición pendiente, el solicitante del 
certificado tendrá que utilizar la página Web de la CA para comprobar el estado de 
sus certificados pendientes. 

6. Siel certificado ya ha sido emitido por la CA, entonces puede recuperarlo e instalar- 
lo en su propio equipo. Para ello no tiene más que hacer clic sobre el enlace Instalar 
este certificado. 


Para emitir o denegar el certificado, el administrador de la CA deberá seguir los siguien- 
tes pasos: 


Inicie la entidad emisora de certificados. (Véase Figura 3.21.) 

En el árbol de la consola, expanda la entidad emisora de certificados (CA). 
Seleccione Peticiones pendientes. 

En el panel de detalles, examine la solicitud de certificado y verifique los valores 
correspondientes al nombre del solicitante, dirección de correo electrónico del solici- 
tante y cualquier otro campo que considere que contenga información imprescindi- 
ble para emitir el certificado. 


Pe 
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Figura 3.21. La autoridad de certificación de Windows 2000/2003 


de 


6. 


Para rechazar la solicitud de certificado, haga clic con el botón secundario del ratón 
en la solicitud de certificado y en el menú contextual seleccione Todas las 
tareas>Denegar. 

Para emitir el certificado, haga clic con el botón secundario del ratón en la solicitud 
de certificado y en el menú contextual seleccione Todas las tareas>Emitir. 


Listas de revocación de certificados 


Del mismo modo que el DNI o pasaporte puede ser robado, falsificado, perdido o, simple- 
mente, expirar, un certificado digital puede dejar de ser válido por motivos idénticos o de 
otra índole: 


D> 


Compromiso de la clave privada del usuario: Si la clave privada cae en manos de un 
atacante, éste podría suplantar al usuario y realizar en su nombre todas las acciones 
a que su certificado le autorice. Suceso más frecuente es que el usuario olvide la 
contraseña que protege su clave privada, privándose así de su uso. En ambos casos, 
se debe dar aviso a la CA a la mayor brevedad posible para que el certificado sea 
revocado. 

Compromiso de la clave privada de la CA: Un suceso más grave es que se vea com- 
prometida la clave privada de la CA, en cuyo caso el atacante podría suplantar a la 
propia autoridad de certificación, con consecuencias desastrosas. En cuanto la CA lo 
advirtiera, debería cambiar su clave, quedando invalidados absolutamente todos los 
certificados reconocidos emitidos hasta ese momento. Las medidas de seguridad de 
la empresa de certificación son (deberían ser) lo suficientemente estrictas como para 
que la probabilidad de este suceso sea prácticamente nula. 

Cambio en los datos del certificado: Los usuarios cambian de trabajo, de lugar de 
residencia, de dirección de correo, etc., motivos que pueden justificar la emisión de 
un nuevo certificado que refleje verazmente la nueva información personal del titu- 
lar y la invalidación del certificado antiguo. 

Violación de la política de la CA: Si un usuario viola las normas de certificación de 
la CA, ésta puede decidir revocar su certificado. Por ejemplo, puede descubrirse que 
el certificado se obtuvo de modo fraudulento. 
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S Expiración del certificado: Los certificados tienen un tiempo de vida limitado y 
claramente especificado en sus datos, al final del cual dejan de ser válidos. Esta 
situación no ocasiona mayores dificultades, ya que el usuario simplemente deberá 
solicitar su renovación a la CA que se lo emitió. 


En los casos anteriores, cuando por el motivo que sea los certificados pierden su validez 
o son revocados, la autoridad de certificación crea las llamadas listas de revocación de cert1- 
ficados (CRL), con los números de serie de los certificados suspendidos. La lista en sí, sin 
embargo, no resulta de gran ayuda a no ser que cuando una aplicación recibe una petición de 
validación de un certificado la contraste previamente con la CRL para comprobar que el 
certificado no haya sido revocado. Esta solución, no obstante, plantea importantes obstácu- 
los de orden práctico, ya que en el caso de acceso a través de Internet no existe todavía un 
mecanismo estándar para comprobar la CRL de una autoridad de certificación de terceras 
partes. 

Ante la ausencia de soluciones eficaces, económicas y escalables, a menudo el único 
método de revocación seguido es dejar que los certificados expiren naturalmente. Como este 
evento puede tardar hasta un año (tiempo de vida típico de un certificado), el retardo puede 
resultar inaceptable en la mayoría de aplicaciones. En definitiva, la revocación de certifica- 
dos constituye el talón de Aquiles de la infraestructura de clave pública. 
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do. En una casa se colocan puertas y ventanas para poder entrar y salir, pero también 

se instalan rejas y cerraduras, porque nunca se sabe quién más puede querer entrar sin 
ser invitado. En un mundo ideal, donde todas las personas viven satisfechas, no habría nada 
que temer. Por desgracia, este mundo dista mucho de ser perfecto, por lo que se levantan 
barreras para salvaguardar la propiedad. Si se desea proteger una finca, ésta se rodea de un 
muro, generalmente culminado en una verja de afiladas puntas, tal vez electrificada. La casa 
posee puertas y ventanas con cerrojos, algunas veces incluso blindadas y a lo mejor con rejas 
en los pisos bajos. Se instalan varios sistemas de alarma, que darán la voz de aviso si un 
intruso salta una cerca, abre una puerta o ventana, o traspasa un cierto umbral. Cámaras de 
TV de circuito cerrado vigilan silenciosamente todos los rincones de la finca y en algunos 
casos se llega a utilizar sensores de movimiento o de temperatura para detectar la presencia 
de intrusos. Además, se contratan los servicios de una agencia de seguridad, cuyos guardas 
jurados patrullan la finca con perros o permanecen en sus garitas vigilando las cámaras y 
haciendo una ronda de vez en cuando. 

Actualmente, la estrategia de control de intrusos más utilizada es la perimetral, basada 
en la utilización de cortafuegos y routers. Estos dispositivos actúan como las rejas con pinchos 
y las puertas con doce cerrojos. Sirven para mantener fuera a los intrusos, es decir, sirven al 
propósito de prevenir ataques o intrusiones en la red interna por ellos protegida. Pero una 
puerta blindada no impide que un ladrón se cuele por otro lado, como por ejemplo por una 
ventana o por un conducto de ventilación o que la propia puerta se use de forma negligente, 
por ejemplo guardando las llaves debajo del felpudo o dejando la puerta entreabierta para no 
tener que andar abriendo y cerrando a todo el que llega. O se deja entrar al fontanero o a la 
empleada del hogar, que luego resulta que era un ladrón disfrazado. Lo peor de todo es que, 
orgulloso de su puerta de tres pulgadas de acero, el propietario se siente protegido. Sin 
embargo, son tantos los caminos alternativos que puede tomar el atacante, que resulta muy 
complicado asegurarlos todos. 

Este capítulo arroja una mirada a la seguridad de las redes. En él se cubre la capa corres- 
pondiente a las defensas perimetrales de la Figura 1.10. Como ya se explicó entonces, la 
seguridad es como una cadena, que se rompe siempre por su eslabón más débil. A menudo se 
comete el error de fortalecer y fortalecer el mismo eslabón, descuidando otros. La defensa 
perimetral es muy importante, pero no la única barrera de seguridad. Nunca debe olvidarse 
que la protección del perímetro resulta indispensable para mantener a los atacantes fuera, 
pero resulta inútil una vez están dentro. 

Los contenidos que se ofrecen en este capítulo se estructuran de la manera siguiente: 


| a red constituye el punto de contacto con el exterior, la frontera con el resto del mun- 


Conceptos generales de redes. 

Amenazas y contramedidas en una red. 

Protección de las comunicaciones: módem, hubs, routers, switches. 
Protección de redes inalámbricas. 

Filtrado mediante cortafuegos. 

Redes privadas virtuales. 
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Conceptos generales de redes 


La seguridad de los sistemas depende en gran medida de las conexiones con el exterior que 
éste posee. Por ello las redes son uno de los puntos críticos a la hora de securizar un sistema. 
Piense por un momento la diferencia de enfoque al proteger un sistema aislado siendo la 
única posibilidad de acceso en local, lo que exige controles físicos para garantizar que sólo el 
sistema personal autorizado accede a la sala donde se encuentra, frente a proteger un sistema 
interconectado con múltiples redes de ordenadores. En la actualidad los equipos están conec- 
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tados a redes, mediante las cuales los usuarios, administradores, etc., pueden acceder a sus 
servicios, pero también los intrusos tienen en teoría la posibilidad de realizar fechorías a 
kilómetros de distancia. La conexión a la red abre un abanico de amenazas que se van 
incrementando si las redes son públicas, inalámbricas,... En definitiva se podría resumir 
diciendo que a igualdad de contramedidas, cuanta mayor exposición, mayor riesgo. 


TCP/IP 


El protocolo más extendido en comunicaciones a día de hoy es la familia TCP/IP. Dicho 
conjunto de protocolos fue desarrollado por el informático estadounidense Vinton Cerf den- 
tro un proyecto del Gobierno, patrocinado por la Agencia de Programas Avanzados de Inves- 
tigación (ARPA), perteneciente al Departamento de Defensa de Estados Unidos. En un primer 
momento fue utilizado en una red pequeña de ordenadores llamada ARPANET, en la cual 
tenían presencia agencias de seguridad del estado, universidades y varios laboratorios de 
investigación. La gran evolución de las redes de ordenadores condujo a la apertura de dicha 
red y se desarrolló hasta lo que se conoce actualmente como Internet. 

Haciendo un símil con el mundo real, los paquetes en TCP/IP son como cartas en las 
cuales hay un remitente y un destinatario. Los carteros las recogen y clasifican, enviándolas 
al final a su destino correspondiente porque saben dónde deben ir en función de la dirección 
que la propia carta posee. Ellos actúan como encaminadores hasta hacer llegar la informa- 
ción al destino. En TCP/IP todo sucede igual: un emisor manda un mensaje que, en caso de 
necesidad de saltar a otra red, es recogido por un encaminador (router), el cual lo reenvía por 
el camino más apropiado hasta llegar a su destino. 

En la actualidad TCP/IP es utilizado como protocolo en Internet, Intranets y Extranets: 
Internet es una red de redes con cobertura mundial; Intranet es una red interna de una 
organización que utiliza protocolos de Internet, en definitiva TCP/IP; mientras que una 
Extranet se define como una red de interconexión privada con el exterior para prestar servi- 
cios o establecer algún tipo de relación con trabajadores, clientes o empresas colaboradoras, 
en la cual evidentemente se usa TCP/IP como conjunto de protocolos para el intercambio de 
información. 

Debido a su flexibilidad y amplia disponibilidad para todo tipo de sistemas operativos y 
hardware, TCP/IP ha acabado imponiéndose sobre todos los protocolos existentes, siendo sin 
duda el más utilizado a día de hoy. Para poder conocer cómo se debe proteger una red de 
comunicaciones conviene familiarizarse con el protocolo, cómo está estratificado en capas y 
cuáles son los servicios que ofrece. TCP/IP es un protocolo que se diseñó inicialmente en su 
versión IPv4 para ser utilizado en ARPANET, precursora de Internet. Presenta una serie de 
ventajas desde el punto de vista de la disponibilidad, pero muchas lagunas en materia de 
seguridad. Actualmente se está desplegando su nueva versión IPv6, la cual soluciona mu- 
chos de los inconvenientes tradicionalmente heredados. La principal ventaja de TCP/IP por 
tanto es su confianza ante fallos: si un enlace se pierde, la información puede fluir por otro 
camino incluso sin que el origen y el destino lleguen a darse cuenta. 

TCP/IP se compone de una pila de protocolos que está estratificada en capas, al igual que 
el modelo OSI. (Véase Figura 4.1.) Presenta una primera capa de acceso físico en contacto 
directo con los elementos de la red, implantada en los controladores (drivers) de los elemen- 
tos de comunicaciones, así como en el propio hardware. La capa de acceso a la red o de 
enlace se encarga de la negociación con el modelo físico y abstrae del mismo a las capas 
superiores. En la capa número 3 se ubica el protocolo IP, encargado de encauzar los paquetes 
hasta el destino. En la siguiente capa, denominada de transporte, la información se une con 
cada servicio y es responsable del flujo de datos entre los equipos que forman la comunica- 
ción. Por último, se encuentra la capa de aplicación, la que ve el usuario final. En ella coexisten 
multitud de protocolos orientados a diferentes servicios: Telnet, HTTP, FTP, SMTP, etc. 
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Aplicación | SMTP, FTP, HTTP, IRC, etc. 


Transporte | TCP, UDP, ICMP, etc. 


Red IP, IPv6, ARP, DHCP, etc. 


Enlace Ethernet, FDDI, 802.11 WiFi, etc. 





Figura 4.1. Modelo TCP/IP en capas. 


A continuación se definen las capas con los servicios y protocolos existentes en cada una 
de ellas: aplicación, transporte, red y enlace. 


Capa de aplicación 


Es la capa más alta, encargada de interactuar directamente con el usuario para pasar la 
información a la capa de transporte. Entre los protocolos más frecuentes se encuentran: 


SMTP (Simple Mail Transfer Protocol): Envío de correos electrónicos. 

HTTP (Hyper Text Transfer Protocol): Intercambio de información para navegación 
Web. 

RPC (Remote Procedure Call): Llamada a procedimientos remotos. 

FTP (File Transfer Protocol): Envío de ficheros a través de la red. 

SNMP (Simple Network Management Protocol): Gestión de redes o sistemas. 
X-WINDOWS: Utilización de interfaces gráficos en remoto. 

TELNET: Administración remota de un sistema desde otro terminal. 

NFS (Vetwork File System): Utilización de archivos remotos. 

SSH (Secure Shell): Administración y envío de ficheros de forma segura. 
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Capa de transporte 


El protocolo de la capa de transporte se encarga de llevar los datos extremo a extremo, para 
lo que incluye mecanismos que aseguren dicho tránsito. Existen dos tipos de protocolos en 
esta capa: TCP (Transport Control Protocol), protocolo orientado a conexión, mediante el 
que se establece una sesión previa al intercambio de datos; y UDP (User Datagram Protocol), 
protocolo no orientado a conexión, en el que los datos se envían sin realizar ninguna co- 
nexión previa. Los sistemas que quieren primar garantías de envío de información así como 
control sobre el flujo de datos se desarrollan sobre TCP, mientras que cuando prima la velo- 
cidad se sustentan sobre UDP. Por ejemplo, son servicios TCP el Telnet, FTP, HTTP o SMTP, 
mientras que sobre UDP se ubican servicios como DNS, RPC o transmisiones multimedia. 
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Capa de red 


El protocolo de Internet (Internet Protocol o IP) se encarga de la transmisión de la informa- 
ción, es decir, de que los datos lleguen a la dirección destino correctamente. Para ello realiza 
tres funciones principales: identificación, enrutamiento y fragmentación. 


Direcciones: La primera función consiste en denominar a cada sistema con una di- 

rección única que no presente conflictos. Para ello existen direcciones registradas 

para el uso en intranet (básicamente: 10.x.x.x, 172.16.0.0-172.31.255.255, 

192.168.x.x, etc.) y un organismo, IANA, que se encarga de gestionar las restantes y 

evitar su reutilización. Las direcciones se corresponden con el formato descrito X.X.x.x, 

siendo cada número un valor entre O y 255, por lo que una dirección IPv4 ocupa 

32 bits. (Véase Tabla 4.1.) 

A  Enrutamiento: Realmente al protocolo IP no le importa si una información llega a su 
destino de manera correcta, lo único que le interesa es encaminarla hacia él. En 
definitiva no está orientado a conexión, sino que los paquetes fluyen por la red con- 
tando con una información de cabecera y van buscando su destino. 

§ Fragmentación: La información no puede viajar en un solo bloque, sino que debe 
fragmentarse en los tamaños máximos admitidos por las redes atravesadas. Por ello 
el protocolo IP se encarga también de realizar el particionado y posterior reensamblado 
de la información de manera que no viole las restricciones de tamaño máximo de 
paquete, MTU (Maximun Transfer Unit). 


A modo de resumen puede decirse que el protocolo IP se encarga de transmitir los datos 
de un nodo a otro sin importarle si llegan a su destino, dado que es un protocolo no fiable. 
Para la transmisión de errores se dispone de un protocolo especial, denominado ICMP, me- 
diante el cual se pueden mandar mensajes de control. Por ejemplo, las pruebas mediante 
ping o traceroute, explicadas más adelante, operan mediante códigos ICMP. 


Capa de enlace 


Se trata del nivel más bajo en el que se interpreta información fuera del entorno físico. En 
ella se definen las direcciones de enlace que deben ser únicas por dispositivo. Cada sistema 
tiene un número identificativo que no se repite y se corresponde unívocamente con su interfaz 
de red. La dirección hardware presenta el siguiente formato XX:XX:XX:XX:XX:XX, representan- 
do xx un número hexadecimal entre 00 y FF. Los tres primeros bloques corresponden al 
fabricante, mientras que los siguientes se utilizan a modo de identificador dentro de cada 
proveedor para evitar la repetición. Dentro de esta capa opera el protocolo de resolución de 
direcciones (Address Resolution Protocol o ARP), encargándose de establecer una concor- 
dancia entre la dirección física (MAC) y la dirección de red (IP). 


Tabla 4.1. Direcciones y sus clases (RFC1918). 


Clase Bits Máscara decimal Máscara CIDR Direccionamiento intranets 

A 24 255.0.0.0 /8 0.0.0.0 — 10.255.255.255 

B 20 255.240.0.0 /12 172.16.0.0 — 172.31.255.255 
255.255.0.0 /16 

C 16 255.255.0.0 /16 192.168.0.0 — 192.168.255.255 


LIL LIN 124 
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Dado que el modelo de IPv4 ha quedado obsoleto, como se ha reflejado anteriormente, se 
está extendiendo la implantación de IPv6, el cual presenta importantes ventajas desde el 
punto de vista de extensión, calidad de servicio y seguridad: 


Desde el punto de vista de la extensión, el protocolo IPv4 puede direccionar como 

máximo 232 equipos, ya que utiliza un campo de 32 bits para guardar la dirección 

IP. En cambio, en IPv6 este campo se ha ampliado a 128 bits, con lo que pueden ser 

direccionados 21128 equipos, en otras palabras mas de 340 billones de billones de 

billones de direcciones, es decir, que va usted a tener una dirección para cada cosa 
que se le ocurra. 

A Desde el punto de vista de calidad de servicio, los paquetes pueden marcarse con 
prioridades para poder realizar distinciones entre tráficos más o menos importantes. 
Este tema ha generado gran controversia dentro del mundo informático por aducirse 
desde múltiples foros que ya no existirá una Internet igual para todos, sino que los 
proveedores podrán priorizar tráficos a su antojo, conduciendo a una situación con 
internautas de primera y de segunda, según los tráficos sean priorizados o no. Al 
margen de esta polémica, la funcionalidad en sí es muy útil dentro de Internet, ya que 
tráficos con necesidad de velocidad o interactividad podrán primar sobre transferen- 
cias masivas no importantes. 

8 Por último, se encuentran las ventajas en materia de seguridad, por las que el proto- 
colo IPSec pasa a ser parte de IPv6. IPSec, del que ya se ofrecieron unas pinceladas 
en el Capítulo 3, permite garantizar la confidencialidad, integridad y autenticación 
de las comunicaciones. 


Ethernet 


Para la creación de una red se pueden utilizar dos tipos de equipos: sistemas y dispositivos de 
red. Los primeros serán los encargados de actuar como origen y destino de la comunicación, 
mientras que los segundos se encargarán de que ésta pueda llevarse a cabo. 

La red dentro del entorno SOHO (Small Office/Home Office) más extendida está defini- 
da bajo el estándar 802.3 Carrier-Sense Multiple Access with Collision Detection (CSMA/ 
CD) LANSs (Ethernet). Para construir una red basta con tener instalada dentro de los equipos 
una tarjeta de comunicaciones compatible Ethernet, un cable (de tipo UTP/STP) y un 
concentrador (hub). (Véase Figura 4.2.) De una manera más simple también se pueden unir 
dos ordenadores cada uno con su tarjeta de red y con un cable cruzado entre sus tarjetas. 
La norma Ethernet oscila entre las velocidades base de 10 Mbps, pasando por los 100 Mbps 
de FastEthernet, hasta llegar a los 1.000 Mbps de GigaEthernet. Para la construcción de una 
red se utilizan diversos elementos, entre los que destacan: 


Concentrador (hub): Es el elemento más simple. Se presenta como un dispositivo 
que replica por todas sus bocas de conexión lo que le llega por las demás. En defini- 
tiva, une todos los equipos directamente enganchados a él. Desde el punto de vista de 
seguridad son muy deficientes porque facilitan el sniffing, ya que desde cualquier 
puesto se puede observar el tráfico circulante por todos los demás puestos. 
Conmutador (switch): Se presenta como la evolución natural del concentrador. En 
este dispositivo la información solamente fluye entre las bocas que están realizando 
la comunicación, por lo que a priori sólo se podrá ver el tráfico destinado a la propia 
estación o tráfico enviado deliberadamente a toda la red (broadcast). Los conmuta- 
dores más avanzados permiten incluso la definición de redes virtuales diferentes 
dentro de un mismo dispositivo físico: mediante el protocolo 802.1q se pueden defi- 
nir redes virtuales (Virtual LAN o VLAN) asociadas a cada interfaz. 
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Figura 4.2. Una red SOHO simple. 
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Puente (bridge): Para la creación de dos redes en las que se quiere segmentar el tráfico 
en dos dominios de colisión distintos de puede utilizar un puente. Mediante un puente 
se pueden unir dos concentradores que incluso utilicen sendos protocolos distintos, 
evitando que las máquinas de los distintos dominios colisionen entre sí al acceder al 
medio. Actualmente están prácticamente en desuso, ya que el precio de los conmutado- 
res ha bajado sensiblemente y muchos de ellos presentan ya esta funcionalidad. 

Encaminador (router): Interconecta redes a nivel IP y separa en distintos dominios 
de multidifusión (broadcast) a nivel 3. Es el alma mater de Internet, dado que Internet 
se compone de una red de redes, interconectadas entre sí mediante multitud de routers. 
Un router interconecta por tanto dos o más redes entre sí posibilitando el intercambio 
de información entre ambas, dado que en función de las direcciones IP conoce dónde 
debe enviar cada paquete. Su configuración se basa en disponer una serie de rutas y 
saber por cuáles de sus interfaces son alcanzables. Para ello existe la posibilidad de 
utilizar rutas estáticas o protocolos de aprendizaje de rutas de manera dinámica. La 
definición de rutas estáticas es desde el punto de vista de seguridad apropiado para 
varios entornos, evitando la falsedad de las mismas en un posible aprendizaje erró- 
neo, si bien se convierte en una tarea tediosa y a veces imposible. Las rutas aprendi- 
das son ampliamente utilizadas en los routers de Internet e Intranets porque otorgan 
una mayor versatilidad de administración y flexibilidad ante caídas. Desde el punto 
de vista de seguridad conviene utilizar las versiones seguras de los protocolos como 
RIP v2 u OSPF, evitando el uso de versiones antiguas o con fallos de seguridad 
inherentes como RIP v1. Los routers suelen ofrecer la posibilidad de añadir reglas 
que permiten o deniegan el tráfico en función de las IP o puertos, en definitiva po- 
seen funciones de cortafuegos quedándose en la capa 3/4. Normalmente este tipo de 
filtros se conoce como listas de control de acceso. Una funcionalidad clave de los 
routers es la posibilidad de realizar una traducción de direcciones de red (Network 
Address Translation o NAT). Mediante dicha utilidad se permite el mapeo de direc- 
ciones origen o destino en otras. NAT es ampliamente utilizado para que múltiples 
equipos puedan salir con una única dirección a Internet. Los sistemas mandan los 
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paquetes al router contra una dirección destino, éste cambia la dirección origen que 
corresponde a la red interna por una dirección válida en Internet y cuando los paque- 
tes vienen de vuelta vuelve a deshacer la conversión. Mediante dicha técnica es posi- 
ble que haya más equipos que direcciones contratadas, por lo que dado que supone 
un ahorro y una opción de flexibilidad importante su uso está muy extendido. Desde 
el punto de vista de seguridad, NAT impide que un atacante pueda descubrir los 
rangos de direcciones IP internas y así poder iniciar un ataque por redireccionamiento 
a las máquinas internas. En la Figura 4.3 se ilustra el concepto de NAT. 
Dispositivo de acceso: Para acceder en remoto a redes se utilizan los dispositivos de 
acceso, entre los que destacan los de acceso vía red telefónica (RTB/RDSI/GSM), 
más conocido como RAS, y los dispositivos de acceso seguro mediante VPN. Me- 
diante este tipo de dispositivos es posible acceder a una red de manera remota pu- 
diendo interactuar con los equipos que presten servicio en ella. Un ejemplo de servidor 
de acceso remoto es Microsoft Internet Authentication Service (IAS). 
Pasarela (gateway): Cuando se separan redes de distintos protocolos suele utilizarse 
una pasarela, la cual se encarga de interpretar la información dentro de un protocolo 
para todas sus capas y prepararla para emitirla en otra red que usa un protocolo 
totalmente distinto. Por ejemplo, existen convertidores de protocolo SNA-TCP/IP. 
Proxy: Elemento que opera en la capa de aplicación realizando un filtrado para pro- 
teger el acceso a redes externas mediante la ocultación de dirección IP. Normalmente 
dispone de funcionalidades adicionales como el cacheo de información, la autentica- 
ción o el control de contenidos. 
8 Cortafuegos: Tienen cabida bajo este nombre desde los dispositivos que realizan el 
filtrado en función de las direcciones IP y puertos hasta los que filtran en función de 
datos del contenido del paquete a nivel de aplicación. 
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Véase Figura 4.4. 


Redes inalámbricas 


Lo que hace apenas cinco años se antojaba patrimonio exclusivo de la ciencia ficción, ya se 
ha convertido en una realidad cotidiana en un número cada día mayor de hogares y oficinas: 


| | 
E | 
192.168.0.10 | | 
li | 
S | | Internet 
192.168.0.1 85.32.129.56 
192.168.0.20 | der | 
| nar | 
O direcciones | | dirección 
privadas pública 
192.168.0.30 | | 


Figura 4.3. NAT: El router posee la dirección 85.32.129.56 de cara a Internet, de manera 
que todos los equipos de la red interna salen a Internet con esa dirección, 
ocultándose efectivamente su dirección IP interna frente a posibles atacantes. 
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Figura 4.4. Una red empresarial típica. 


la interconexión sin cables de distintos equipos informáticos. Las redes de área local 
inalámbricas (Wireless Local Area Networks o WLAN) permiten que varios dispositivos 
puedan transmitirse información entre ellos a través de ondas de radio sin necesidad de 
cables. Las ventajas saltan a la vista. La mayor es la libertad que proporcionan a los usuarios 
de red, que no dependen de la existencia en las proximidades de un punto de red y pueden 
llevar su equipo, especialmente si es portátil, a cualquier sitio sin perder la conexión a Internet. 
Las redes WLAN solucionan algunos problemas asociados a las redes con cables, en especial 
los derivados de la instalación de los mismos, que a menudo requieren pequeñas obras para 
la acometida. Facilitan sobremanera y reducen costes de instalación, ya que no requieren 
obra y se ahorra en cable, si bien las tarjetas de red resultan algo más caras. 

En la actualidad existen dos soluciones destacadas en el panorama de las redes WLAN: 
los estándares IEEE 802.11b y 802.11g, conocidos más popularmente como Wi-Fi (abrevia- 
tura de Wireless Fidelity), y la solución propuesta por el grupo de trabajo HomeRF. Por 
desgracia, estas soluciones no son compatibles entre sí, ni con ningún otro estándar. Sin 
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lugar a dudas, la más extendida es Wi-Fi, ya que proporciona mayores prestaciones, tanto en 
el hogar como en la oficina, por lo que será la elegida para ser tratada en este libro. 

Las redes Wi-Fi permiten alcanzar velocidades de transmisión de 11 Mbps para 802.11b 
y de 54 Mbps para 802.11g. Sin embargo, esta cifra representa la velocidad a la que se envían 
bits. Teniendo en cuenta que buena parte de la información enviada comprende cabeceras de 
los protocolos que no son propiamente datos, descontando las cabeceras y otra información 
de control, la velocidad real de transferencia de información útil es mucho menor, entre 4 y 
6 Mbps para 802.11b y entre 20 y 30 Mbps para 802.11g. 

Otro parámetro importante que hay que tener en cuenta es el rango de alcance de la red 
inalámbrica. Normalmente este valor se halla comprendido entre los 25 y 100 metros, aun- 
que depende tanto del fabricante como del medio donde estén situados los dispositivos 
inalámbricos, ya que cuanto más despejado está el espacio, es decir, cuantas menos paredes, 
obstáculos como armarios, mesas, etc., menos interferencias se producen debido a la re- 
flexión de señal. También hay que tener en cuenta que cuanto más alejados se encuentren los 
equipos entre sí, aun dentro del rango permitido, más débil es la señal y menor será la 
velocidad real de transmisión alcanzada. 

A la hora de desplegar una red inalámbrica se utilizan dos topologías básicas: infraes- 
tructura y ad hoc. La elección de una u otra dependerá de las necesidades concretas. Las 
redes en modo ad hoc no requieren la compra de hardware adicional, solamente basta con 
que cada equipo de la WLAN posea su propia tarjeta de red inalámbrica. No obstante, cada 
vez más dispositivos vienen con adaptador de red inalámbrico, como muchos PDA y portát1- 
les. Por su parte, las redes en modo infraestructura requieren además la compra de un dispo- 
sitivo hardware llamado punto de acceso. 


Modo infraestructura 


Las redes inalámbricas en modo infraestructura extienden una LAN de cable ya existente, 
normalmente Ethernet, de modo que sea accesible por otros dispositivos sin hilos a través de 
una estación base, denominada punto de acceso inalámbrico (Wireless Access Point o WAP) 
o abreviadamente punto de acceso (AP). Este punto de acceso actúa como puente (bridge) 
entre ambas redes, la Ethernet y la inalámbrica, coordinando la transmisión y recepción de 
los diferentes dispositivos inalámbricos. Dependiendo del número de dispositivos que pueda 
servir un solo punto de acceso, se deberán ir añadiendo más puntos de acceso a medida que 
sean necesarios. Teniendo en cuenta que pueden cubrir un rango de entre 25 y 100 metros, 
un solo AP suele bastar para una pequeña red doméstica o empresarial (SOHO). Esta topolo- 
gía resulta ideal para permitir el acceso a Internet o a una red local a los ordenadores 
inalámbricos itinerantes. (Véase Figura 4.5.) 

En la jerga WLAN los dispositivos inalámbricos, ya sean ordenadores de sobremesa, 
portátiles o dispositivos de mano (Personal Digital Assistant o PDA), se denominan estacio- 
nes. Cuando se enciende una estación, lo primero que debe hacer es identificar los puntos de 
acceso y redes disponibles. Los puntos de acceso emiten tramas faro (beacon frames) para 
anunciar su presencia. Cuando la estación detecta uno, se procede a la fase de autenticación, 
en la cual se verifica la identidad mutua. A continuación se produce la asociación, que per- 
mite que el punto de acceso y la estación se intercambien información. El AP puede utilizar 
esta información para compartirla con otros puntos de acceso y hacerles saber de la presencia 
de una nueva estación. Una vez completada la asociación, la estación ya puede enviar y 
recibir tramas en la WLAN. 

Todo el tráfico de red de las estaciones de la WLAN pasa a través del AP, tanto si va 
dirigido a la LAN de cable como a otras estaciones de la WLAN. De esta forma se consigue 
que dos estaciones que no están al alcance una de otra, pero sí cada una dentro del radio del 
AP, puedan comunicarse entre sí. Aunque no está estandarizado, cada fabricante implanta 
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Figura 4.5. Red inalámbrica en modo infraestructura. 


sus propios mecanismos para permitir la itinerancia (roaming), de manera que una estación 
itinerante pueda reasociarse con otros AP a medida que cambia de localización. Esta trans1- 
ción debe hacerse suavemente, de manera que si, por ejemplo, la estación está descargando 
un archivo de Internet, la descarga no se vea interrumpida. 

Las redes inalámbricas se identifican mediante un nombre de red o identificador de con- 
junto de servicios (Service Set Identifier o SSID). Este SSID actúa como una contraseña 
rudimentaria, ya que para poder conectarse a una red todas las estaciones deben conocerlo. 
Teniendo en cuenta que normalmente los AP están anunciando el SSID de la red continua- 
mente, cualquier estación será capaz de acceder a él y utilizarlo para entrar a formar parte de 
la red. 


Modo ad hoc 


Las redes ad hoc o de equipo a equipo están creadas exclusivamente por los propios disposi- 
tivos inalámbricos, sin ningún punto de acceso ni controlador central. Cada dispositivo se 
conecta directamente con otros dispositivos en la red sin pasar por un punto central. Esta 
topología resulta especialmente útil cuando se necesita que un pequeño grupo de ordenado- 
res se conecten entre sí, pero sin necesidad de acceso a otra red ni de salida a Internet. Por 
ejemplo, en una sala de reuniones en la que fluirá información entre unos y otros ordenado- 
res o en un aula en la que los equipos se envían datos o hablan entre sí. 

El funcionamiento de una WLAN ad hoc es muy similar al descrito anteriormente para 
las redes en modo infraestructura. En este caso, una de las estaciones debe asumir el papel de 
AP, emitiendo tramas faro que permitan engancharse a la red a otras estaciones. Algunas 
mejoras proporcionadas por el AP ya no están presentes, como la posibilidad de comunicar a 
dos estaciones fuera de alcance. Si las estaciones desean acceder a Internet, una de ellas 
deberá tener un segundo adaptador de red conectado a Internet y actuar como proxy para 
todas las demás. (Véase Figura 4.6.) 
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Figura 4.6. Red inalámbrica en modo ad hoc. 


Amenazas y ataques en una red 


Para poder implantar contramedidas de seguridad adecuadas, en primer lugar se deben com- 
prender cuáles son las amenazas a que una red está expuesta y cuáles son las vulnerabilida- 
des de red explotadas por los ataques. Ya se explicó en la sección “Gestión de la seguridad de 
la información” del Capítulo 1 que antes de implantar controles de seguridad conviene rea- 
lizar un análisis de los riesgos y plantearse unos objetivos de seguridad realistas y apropiados 
para su contexto. En esta sección se describen cuáles son los riesgos más comunes, compar- 
tidos por la práctica totalidad de redes existentes, sin importar su dimensión. Para cada tipo 
de amenaza se explicará cuáles son las vulnerabilidades explotadas, los ataques más frecuen- 
tes y se sugerirán distintas contramedidas, las cuales son explicadas en detalle en este u otros 
capítulos del libro. 


Amenazas, vulnerabilidades, ataques y contramedidas 


Las principales amenazas a las que se enfrenta una red, recogidas en la Tabla 4.2, son: 


Recopilación de información (harvesting): El intruso busca obtener información acerca 
de la topología de red, tipos de dispositivos presentes y su configuración. Gracias a 
esta información puede descubrir vulnerabilidades y puntos de entrada. 
Intercepción de tráfico (sniffing): El intruso intercepta el tráfico de forma pasiva, es 
decir, no lo modifica, en busca de contraseñas e información sensible que circula por 
la red. 

Falsificación (spoofing): El intruso oculta su identidad real, haciéndose pasar por 
otro usuario o equipo. Suele utilizarse para enmascarar la dirección real de proce- 
dencia de un ataque o para burlar un sistema de control de acceso en función de la 
dirección IP de origen. Es considerado un ataque por spoofing tanto la modificación 
de paquetes existentes en la red como la creación de nuevos cuyo objeto es falsear la 
identidad de algún componente de la transmisión de un mensaje. 

Secuestro de sesión (hijacking): El intruso utiliza una aplicación para simular el 
comportamiento del cliente o del servidor, o bien intercepta los paquetes de informa- 
ción por la red pudiendo visionarlos y modificarlos a su antojo. Como consecuencia, 
el servidor o el cliente creen estar comunicándose con el equipo legítimo, cuando en 
realidad se trata del equipo del atacante, que aparece a todos los efectos como el 


D> 
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destino auténtico. Se utiliza típicamente para obtener información de autenticación y 
datos sensibles. A este tipo de ataques también se les conoce como ataques de hombre 
en el medio (Man-In-The-Middle o MITM). 
8 Denegación de servicio (DoS): El intruso busca denegar a los usuarios legítimos el 
acceso a los servidores o servicios de la red, inundándola con tráfico espurio que 
consuma todo su ancho de banda y recursos. Cabe destacar un gran grupo dentro de 
este tipo de ataques conocido bajo el nombre de denegación de servicio distribuida 
(Distributed Denial of Service o DDoS) en el cual se coordinan varios sistemas para 
realizar un ataque simultáneo contra un objetivo definido. 


Herramientas de análisis de la seguridad 


El análisis de la seguridad de una red por un auditor no se diferencia técnicamente del 
análisis realizado por un atacante. Ambos análisis sólo se distinguen por su objetivo. De 
hecho, tanto el intruso como el auditor suelen utilizar las mismas herramientas para realizar 
escaneo de puertos, escaneo de vulnerabilidades, análisis de tráfico (sniffing), cracking de 
contraseñas, detección de módems, enumeración de recursos, detección de redes inalámbricas, 
etcétera. A continuación se describe en qué consisten estos ataques y cuáles son las herra- 
mientas empleadas en ellos. 


Tabla 4.2. 


Amenazas, vulnerabilidades, ataques y contramedidas en una red (adaptado 


de Improving Web Application Security, msdn.microsoft.com/library/en-us/ 
dnnetsec/html/ThreatCounter.asp). 


Amenazas 


Recopilación 
de información 


Intercepción 
de tráfico 


Vulnerabilidades 


Los datos viajan 
en claro 


Los servicios devuelven 


cabeceras 

de identificación 
(banners) en las que 
se informa del tipo y 
versión de servidor 
Los servidores ofrecen 
más servicios de los 
absolutamente 
necesarios 


Seguridad física débil 


Datos sensibles en claro 


Autenticación débil 
de servicios: 
contraseñas en claro, 
o débilmente cifradas, 
o con posibilidad 
de reactuación 


Ataques 


Tracert o pathping 
para delinear 

la topología de red 
Telnet para capturar 
banners 

Escaneo de puertos 
para detectar 
servicios a 

la escucha 
Peticiones broadcast 
para enumerar 
equipos en una red 


Instalación de un 
sniffer en la red 


Contramedidas 


Banners de 
configuración 
genéricos que no 
revelan información 
Cortafuegos para 
enmascarar 
servicios que no 
deberían ser 
públicamente 
accesibles 

Eliminación o 
desactivación de los 
servicios que no 
se requieren 


Seguridad física 
fuerte que impida 
que un intruso instale 
un sniffer en una red 
Cifrado de 
credenciales y de 
información sensible 
en la red 


(continúa) 
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Tabla 4.2. 


Amenazas, vulnerabilidades, ataques y contramedidas en una red (adaptado 


de Improving Web Application Security, msdn.microsoft. com/library/en-us/ 
dnnetsec/himl/ThreatCounter.asp) (continuación). 


Amenazas 


Falsificación 


Secuestro de sesión 


Denegación 
de servicio 


Enumeración 


Vulnerabilidades 


Inseguridad inherente 
a la suite 

de protocolos 
TCP/IP 
Ausencia de 

filtrado de ingreso y 
egreso 


Seguridad física débil 
Inseguridad inherente 
a la suite de protocolos 
TCP/IP 
Ausencia 
de comunicaciones 
cifradas 


Inseguridad inherente a 
la suite de protocolos 
TCP/IP 

Configuración débil 

de routers y switches 
Errores (bugs) en 

el software 

de los servicios 


Ataques 


Herramientas de 
falsificación de 
la dirección IP 
origen de los 
paquetes para que 
parezcan 
procedentes de 
otro equipo o red 


Herramientas para 
combinar 
el spoofing, 
el cambio de rutas 
y la manipulación 
de paquetes 


Inundación de la red 
con paquetes, como 
cascadas broadcast 

Inundación SYN 

Inundación Ping 

Fragmentación de 
paquetes 

Explotación de 

vulnerabilidades 

en servidores, como 
desbordamientos 
de búfer 


Contramedidas 


Filtrado de ingreso y 
egreso en los routers 
perimetrales 


Cifrado de sesión 
Inspección multinivel 
de estados en 

el cortafuegos 


Filtrado de peticiones 
de broadcast 

Filtrado de peticiones 

ICMP 

Parcheo 
y actualización 
de software y 
firmware de servicios 
y dispositivos de red 


En el primer grupo y a la vez el más básico, pueden citarse todas las herramientas destinadas 
a poder detectar los sistemas existentes en una red. Para ello se pueden utilizar varias herra- 
mientas entre las que destacan: 


Ping 

Herramienta para realizar una prueba simple. Permite enviar un mensaje de petición de 
contestación sobre un destino. Para ello utiliza el protocolo ICMP y se manda un mensaje de 
solicitud de eco esperando recibir una respuesta de eco (vea la Tabla 4.3 para otros mensajes 
de ICMP). 
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Ejemplo de ping al interfaz local: 


AI OA 


Haciendo ping a 127.0.0.1 con 32 bytes de datos: 

Respuesta desde 127.0.0.1: bytes=32 tiempo<lm TTL=128 
Respuesta desde 127.0.0.1: bytes=32 tiempo<lm TTL=128 
Respuesta desde 127.0.0.1: bytes=32 tiempo<lm TTL=128 


Respuesta desde 127.0.0.1: bytes=32 tiempo<lm TTL=128 

ES Ue IA a AO 
Paquetes: enviados = 4, recibidos = 4, perdidos = 0 
(0% perdidos), 

Tiempos aproximados de ida y vuelta en milisegundos: 
Mínimo = Oms, Máximo = Oms, Media = Oms 


Ejemplo de ping a la máquina 192.168.1.2: 


Ca e Se 
Haciendo ping a 192.168.1.2 con 32 bytes de datos: 
Respuesta desde 192.168.1.2: bytes=32 tiempo<lm TIL=128 
Respuesta desde 192.168.1.2: bytes=32 tiempo<lm TIL=128 
Respuesta desde 192.168.1.2: bytes=32 tiempo<lm TIL=128 
Respuesta desde 192.168.1.2: bytes=32 tiempo<lm TIL=128 
Estadi ticas Ue ping pel 152 Ls Ze 
Paquetes: enviados = 4, recibidos = 4, perdidos = 0 
(0% perdidos), 
Tiempos aproximados de ida y vuelta en milisegundos: 
Mínimo = Oms, Máximo = Oms, Media = Oms 
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El tiempo de vida (TTL o TDV) es un indicativo del número de saltos que ha tenido que 
dar el paquete por su viaje a través de las redes. Los paquetes se envían con un valor de TTL 
determinado, por ejemplo igual a 128, y en cada nodo que atraviesan se decrementa en una 
unidad. Su sentido es evitar que un paquete esté circulando eternamente por Internet, ya que 
en cuanto se alcanza el valor O se descartan. Por tanto, si quiere saber por cuántos routers 
pasó el ping, no tiene más que restarle a 128 el valor devuelto en la columna TTL. Si el valor 


Tabla 4.3. Mensajes del protocolo ICMP más utilizados en la gestión de redes. 


Mensaje ICMP 


Solicitud de eco 


Respuesta de eco 
Destino inaccesible 


Paquete de control de flujo 


Redirección 
Tiempo agotado 


Descripción 


Determina si está disponible un nodo IP (un equipo o un 
router) en la red. 

Responde a una solicitud de eco ICMP. 

Informa al equipo de que no es posible entregar un 
datagrama. 

Informa al equipo de que disminuya la velocidad a la que 
envía los datagramas porque hay congestión. 

Informa al equipo de la existencia de una ruta preferida. 
Indica que ha caducado el tiempo de vida (TTL) de un 
datagrama IP. 
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de TTL varía en ping sucesivos, considérelo como una mala señal, ya que los paquetes están 
siguiendo rutas diferentes cada vez. 

Existen herramientas más útiles que realizan la misma función y son más potentes por 
poder mandar los paquetes con diversos parámetros adicionales y realizar la prueba sobre 
múltiples máquinas simultáneamente. Una de las herramientas más potentes para realizar 
rastreos masivos es hping, la cual se ejecuta desde línea de comando pudiendo generar petl- 
ciones al antojo del usuario. Hping permite modificar el contenido de los paquetes y realizar 
múltiples peticiones simultáneas. La herramienta está disponible en www.hping.org. 


nping2 [ -hvnqvDzZ012WrfxykQbFSRPAUXYjJBuTG ] hostname 

-c count ] [ -1 wait ] [| —fast ][ -1 interface ] [ -9 signature ] 
O APPO A OA 
m mtu ] [ -o tos ] [ -C icmp type ] [ -K icmp code ] 

-s source port ] [ -pl+][+] dest port ] [ -w tcp window ] 

O tcp offset ] L -M tcp sequence number ] [ -L tcp ack ] 

-d data size ] [ -E filename ] [ -e signature ] [ —icmp-1pver version ] 
[ —1cmp-iphlen length ] [ —1icmp-iplen length ] [ —icmp-ipid id ] 

[ —1cmp-ipproto protocol ] [ —icmp-cksum checksum ] [ —1icmp-ts ] 

[ —1cmp-addr ] [ —tcpexitcode ] [ —tcp-timestamp ] [ —tr-stop ] 

[ —tr-keep-tt1 ] [ —tr-no-rtt ] 


Tracert 


Herramienta para el rastreo de saltos hasta el destino. La herramienta envía múltiples paque- 
tes con un TTL desde 1 al número de saltos con el objetivo de que vayan expirando en 
tránsito y así conocer el camino. Los programas de envío de trazas funcionan enviando a la 
máquina destino un paquete a un puerto UDP que no esté a la escucha, por defecto el 33434, 
con el TTL a 1. El paquete llega al primer router, se le decrementa el TTL y al ser 0, el router 
lo descarta y notifica por medio de un paquete ICMP al equipo que lo envió que el tiempo de 
vida ha expirado. De esta forma, el programa de trazas ya sabe la dirección del primer salto. 
A continuación envía otro paquete con el TTL a 2, luego a 3, y así sucesivamente, hasta que 
llega finalmente a la máquina destino, que le devolverá un paquete ICMP informándole de 
que el puerto está cerrado, lo cual le indica al programa trazador que ha llegado hasta la 
máquina remota. 
Ejemplo de tracert a una IP que está en la misma red: 


Cae rrace no Toa 


Traza a 192.168.1.2 sobre caminos de 30 saltos como máximo. 
SAA eZ 
Traza completa. 


Ejemplo de tracert a una IP que está en una red remota: 

C:iatracert 192.168.2.2 

Traza a 192.168.1.2 sobre caminos de 30 saltos como máximo. 
IMSS AMS AL o OO <-------------------- Router de salto 
SSA O O 


Traza completa. 
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En este ejemplo la red 192.168.1.0 está unida con la 192.168.2.0 por el router en 
192.168.1.100 como se puede observar en la salida del comando tracert. 

Desde Windows 2000, se incorpora con el sistema operativo la herramienta pathping, 
que resulta mucho más útil que tracert, ya que combina las mejores características de ping y 
tracert, proporcionando más información que las otras dos por separado. Al indicar el por- 
centaje de paquetes perdidos en cada salto de la traza, ayuda a detectar mejor en qué nodo se 
pueden estar produciendo los problemas. Para utilizarla, simplemente escriba “pathping” 
desde la línea de comandos, seguido del nombre de máquina a la que quiere enviar la traza. 

De una manera más visual es posible realizar una traza hasta un destino con la ayuda de 
la herramienta VisualRoute, mediante la cual se puede averiguar todos los saltos intermedios 
y de manera añadida va dibujando en un mapa la localización de los mismos (véase Figu- 
ra 4.7). Se puede ejecutar una demo real desde la Web en www.visualware.com, bajo el 
apartado de Live Demo. 





Enter Host/ URL: OE Aa 


Stat Trace | stop | W ¿Show Details 


Repor for www.yahoo.com [66.218.71.81] 








62.43.2471 i ; : | Internet Total SL 
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Figura 4.7. Traceroute gráfico con VisualRoute. 
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SNMP 


El protocolo sencillo de gestión de red (Simple Network Management Protocol o SNMP) 
permite descubrir elementos, configurarlos y monitorizarlos. SNMP sirve para poder acce- 
der tanto a elementos de comunicaciones como a sistemas con el objetivo de poder ver y 
actuar sobre su estado. 

Existen multitud de herramientas para realizar un rastreo por SNMP, entre las que desta- 
ca la creada por la empresa Solarwinds, disponible para plataforma Windows, mediante la 
cual es posible rastrear todos los sistemas disponibles por SNMP en una red y actuar sobre 
los mismos. 

Para acceder por SNMP a un equipo es necesario conocer la comunidad (community), 
que viene a ser como una clave de acceso. Dado que muchos sistemas vienen configurados 
por defecto y no se cambian, se verá sorprendido por la abundancia de equipos vulnerables 
en Internet. Solarwinds puede descargarse desde www.solawinds.net. 


Datos de un sistema localizado 


Escaneo de puertos 


Para realizar un rastreo de puertos se emplean diversas técnicas, consistiendo la más básica 
en mandar un paquete TCP con el flag SYN activo, al que el sistema destino deberá contestar 
con SYN+ACK en caso de estar abierto o RST en caso de estar cerrado. De manera similar, 
para un rastreo UDP se envía un paquete sobre un puerto y con la respuesta se determina 
como cerrado al recibir un /CMP port unreachable o se supone abierto si no se recibe este 
paquete. 

Nmap es la herramienta más extendida y conocida para el rastreo de puertos, desarrolla- 
da por Fyodor. (Véanse la Tabla 4.4 y la Figura 4.8.) 


Tabla 4.4. Programas de escaneo de puertos. 


Nombre URL Plataforma Coste Comentarios 


Nmap wWWW.Insecure.org/nmap Todas Gratuito Línea 
de comandos, 
pero existe 
un frontal 
gráfico 
SuperScan www.foundstone.com Windows XP/ Gratuito Interfaz 
2000/2003 gráfico 
NScan nscan.hypermart.net Windows XP/ Gratuito Incorpora 
2000/2003 otras 
herramientas, 
como cliente 
Whois, 
cliente DNS, 
traceroute 
para UDP, etc. 
Interfaz gráfico 
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ET EA 


Scan | Host and Service Discovery | 5can Options | Tools | Windows Enumeration | About | 


IPs 


Hostname/IF localhost >| Start IF End IF Clear Selected | 
statie X| 2z 0 00. 10 iia Ceara | 
EndiP fiar o 0.1 e 

Read IPs fam file. > | 


Live hosts this batch: 1 


Total live hosts discovered 
Total open TCP ports 
Total open ULP ports 


E= 
= 
z 
(ai 
E 


Ferforming hostname resolution... 
Fer formning banner grabs... 
TCP barner grabbing i0 ports] 
UCF barner grabbing (0 ports)| 
Reporting scan results... 


Discovery scan finished: D6s1204 19:03:23 


y] | | Mew HTML Results | 





Figura 4.8. Programa de escaneo de puertos SuperScan de Foundstone. 


Ejemplo de Nmap para rastreo de puertos: 


m o SON 

Starting nmapNT V. 2.53 SP1 by ryanfteEye.com 

eEye Digital Security ( http://ww.eEye.com ) 

based on nmap by fyodortinsecure.org ( www.insecure.org/nmap/ ) 
Interesting ports on (192.168.0.10): 

(The 2 ports scanned but not shown below are in state: closed) 
Port State Service 

23/tcp open telnet 

2b/tcp open smtp 

Nmap run completed — 1 1P address (1 host up) scanned in 7 seconds 


Aunque no se trata propiamente de escaneo de puertos, otra herramienta muy útil para 
saber qué puertos están abiertos y qué conexiones activas en un equipo es netstat, suministra- 
da con el propio sistema operativo. A menudo puede resultar más práctica si lo que desea es 
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saber no sólo los puertos que tiene a la escucha, sino también las conexiones establecidas y 
con qué máquinas. Para ejecutarla, abra una ventana de DOS y escriba 


netstat -a 


Se listarán todas sus conexiones activas, en qué puertos se han establecido y en qué 
estado se encuentran. Puede agrupar las respuestas por protocolos si ejecuta 


netstat -s 


Si de todos los protocolos le interesa uno en particular, puede obtener la estadística para 
ese protocolo en concreto escribiendo 


netstat -=S =p proto 


donde proto representa el nombre del protocolo, que puede ser tcp, udp o 1p. Así, por ejem- 
plo, para ver exclusivamente los paquetes IP, se escribe 


netstat -S =p Tp 


Si necesita consultar esta información cada pocos segundos, en vez de escribir el coman- 
do de nuevo puede pulsar F3. Y lo que es aún mejor, puede escribir al final del comando el 
número de segundos que desea como frecuencia de refresco. Por ejemplo, si quiere que cada 
10 segundos se actualice la información sobre los paquetes UDP enviados y recibidos, 
escriba 


netstat -s -p udp 10 


Para cancelar el listado, pulse Ctrl+C. Para obtener un listado de todas las opciones de 
Netstat, escriba 


netstat -h 


La interpretación del resultado de la ejecución de netstat no es difícil. En la primera 
columna (“proto”) se informa del protocolo utilizado por la conexión. En la segunda colum- 
na se informa de la dirección IP o nombre de máquina del equipo local, junto con el número 
de puerto en el que está a la escucha. En la tercera columna se informa de la dirección IP o 
nombre de máquina del equipo remoto, junto con el puerto utilizado para la conexión. Por 
último, en la cuarta columna se informa del estado de la conexión. Valores típicos para el 
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estado son LISTEN (el puerto está a la escucha, pero todavía no se ha establecido la co- 
nexión), ESTABLISHED (la conexión está siendo utilizada), TIME_WAIT (se ha cerrado la 
conexión). Para una descripción detallada del resto de estados posibles consulte 
support.microsoft.com/default.aspx?scid=kb;en-us;q137984. Por defecto netstat intenta re- 
solver el nombre de las máquinas y de los puertos. Si se utiliza el parámetro -n muestra 
puertos y direcciones en formato numérico. 


see] Siel comando netstat genera una salida tan larga que no la puede examinar en pantalla, redirijala a un 
archivo escribiendo el siguiente comando: 


netstat -an>c:lunacarpetalnetstatlog.txt 


A continuación, abra el archivo con el bloc de notas y examínelo a su gusto. Si quiere buscar un puerto 
concreto en una salida muy larga para saber si lo tiene abierto, por ejemplo el 3389, escriba: 


netstat -an|find “:3389” 


Otra útil herramienta para el trabajo con puertos es Microsoft Port Reporter, para Win- 
dows XP/2000/2003, que registra la actividad en puertos TCP y UDP del sistema local, 
trabajando como un servicio. Registra también qué proceso está ejecutando el servicio y 
la cuenta de usuario que lo ejecuta. Se puede descargar gratuitamente dela dirección 
support.microsoft.com/default.aspx?scid=kb;en-us;837243. La empresa de seguridad 
Foundstone ha desarrollado una herramienta que realiza la misma funcionalidad y es am- 
pliamente utilizada, fport, que puede ser descargada desde www.foundstone.com/resources/ 
proddesc/fport.htm. 


Fingerprinting de sistema operativo 


Desde el punto de vista de un atacante, saber con qué se enfrenta es una baza importante. 
Por ello los intrusos utilizan herramientas que tratan de averiguar cuál es el sistema operati- 
vo y las aplicaciones existentes tras una dirección IP. Para detectar el sistema operativo tras 
una dirección existen múltiples técnicas que van desde las más sencillas, como ver el propio 
texto presentado por un equipo cuando es accedido o puertos característicos de un sistema, 
hasta las más avanzadas, basadas en la contestación ante diversos paquetes mandados por la 
red. Esta última técnica es empleada por varias aplicaciones, entre las que destacan nmap, 
xprobe, Queso y p0f. Nmap es una herramienta famosa por poder detectar el sistema opera- 
tivo remoto en base a una serie de pruebas realizadas al mandar varios paquetes TCP y UDP. 
Los equipos poseen diferentes desarrollos del protocolo TCP/IP, por lo que responden de 
manera diferente ante peticiones no estándar y por ello es posible determinar en función de 
las respuestas el sistema operativo. Xprobe se basa por el contrario en contestaciones espe- 
ciales ante paquetes ICMP. Al igual que nmap, manda una serie de paquetes y en función de 
datos característicos de las respuestas determina con un grado de probabilidad el sistema 
operativo remoto. La herramienta xprobe está disponible en www.sys-security.com/html/ 
projects/X.html, mientras que pOf v2 puede descargarse gratuitamente desde la página Web 
lcamtuf.coredump.cx/p0f.shtml. (Véase Figura 4.9.) 
Ejemplo de Xprobe para detección de sistema operativo: 


+ ./xprobe -v 192.168.0.10 
X probe ver. 0.0.2 
(continúa) 
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File  Wiew Help 


Targetís): ¡Wan insecure.org 


Scan Type Scanned Ports 


SYN Stealth Scan x Most Important [fast] w 


Relay Host: | Range: 





scan Extensions 


[] RPC Scan [ ]Identd Info OS Detection Version Probe 





Starting nmap 3,49 € http://uuww,insecure,org/ínmap/ >? at 2003-12-19 14:28 PST 
Interesting ports on www, insecure,org (205,217,153,53)+ 
¿(The 1212 ports scanned but not shown below are in state: filtered> 

STATE SERVICE VERSION 

open ssh OpenSSH 3,1p1 (protocol 1,99) 

open  sntp qmail smtpd 

open domain ISC Bind 9,2,1 

open http Apache httpd 2,0,39 ((Unix? mod_perl/1,99_07-dev Perlv5,6,1) 
113'tcp closed auth 
Device type: general purpose 

j 2,4,412,5,% 
E Kernel 2,4,0 - 2,5,20 

Uptime 212,119 days (since Hed May 21 12:38:26 2003) 


Nmap run completed -- 1 IP address 1 host up? scanned in 33,792 seconds 





Command: | nmap -s5 -sY -O -F -Pl -T4 www.insecure.org 








Figura 4.9.  Nmap para detección de sistema operativo. 


Interface: eth0/192.168.0.1 

Kernel filter, protocol ALL, raw packet socket 
LoG Tarode TII TOn 0a 

LOG: Netmask: 255.255.255.255 

EI SO 

lOG senal UDP tolo 168 0m0 32192 

LOG: [98 bytes] sent, waiting for response. 
IREE IP total length field value is OK 

IREE Frag Dits are Ok 

LOG: [send]-> ICMP echo request to 192.168.0.10 
LOG: [68 bytes] sent, waiting for response. 
TREE: Microsoft Windows Family TCP stack 

TREE: Other Windows-based OS (ttl: 126) 
FINAL: [E Windows 2k. SP1, SP2/Windows XP] 


Fingerprinting de aplicaciones 


De igual modo que es posible detectar en remoto un sistema operativo y su versión, las 
aplicaciones son igualmente descubiertas. Para detectar la aplicación remota se emplean 
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desde las técnicas básicas, detección por coincidencia de un puerto característico con un 
servicio o visualizar la información presentada, hasta detectar en función de peticiones no 
estándar el protocolo, aplicación y versión existente. (Véase Tabla 4.5.) 


Extracción de información de una aplicación 


Existen herramientas específicas para cada sistema operativo que extraen información sobre 
servicios conocidos. (Véase Tabla 4.6.) Por ejemplo, es posible descubrir información de 
NetBios en plataformas Windows, servicios RPC en UNIX o datos de configuración en Novell 
mediante ncpquery. 


Tabla 4.5. 
Nombre 
Httprint 
THC-Amap 
THC-Vmap 


Ike-Scan 


Tabla 4.6. 
Nombre 
NBTScan 
Nbtdump 


Dcetest 


Rpedump 


No 


Cdrp 
IRPAS 


Hijetter 


Herramientas para fingerprinting de aplicación. 


Detección 


Detección del servidor 


HTTP (Web) 


Detección de aplicaciones 


y Servicios remotos 


Detección de versiones 


de programas 
Detección de VPN 


Rastreo de información. 


Detección 


Rastreo de estaciones 
NetBios. 
Rastreo de estaciones 
NetBios. 
Extracción 

de información de 
servicios DCE. 
Extracción 

de información 

de servicios RPC. 
Extracción 

de información 

de Novell. 
Herramienta 

de escaneo cisco. 
Suite para ataque 

de routers. 
Extracción 

de información 

de impresoras. 


Plataforma URL 


Unix/Windows 
Unix 
Unix 


Unix 


URL 


wWww.Inetcat.org 
www.atstake.com 


www.atstake.com 
www.atstake.com 
www.bindview.com 
www.atstake.com 
www.monkeymental.com 


www.pheloelit.de 


www.phenoleit.de 


net-square.com/httprint 
www.thc.org 
www.thc.org 


www.nta-monitor.com/ike-scan 


Objetivo 
NetBios 
NetBios 


Windows 


Unix 


Novell 


Cisco 
Routers 


Impresoras HP 
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Ejemplo de Nbtscan: 


+ nbtscan 192.168.1.1 

NTW4DEV <0x00> Unique Workstation Service 

NTW4DEV <0x20> Unique File Server Service 

WORKGROUP <0x00> Group Domain Name 

NTW4DEV <0x03> Unique Messenger Service 

WORKGROUP <0x1le> Group Potential Master Browser 

TAS <0x03> Unique Messenger Service 

WORKGROUP <0x1d> Unique Master Browser 

. . MSBROWSE  .<0x01> Group Master Browser 

MM <0xbf> Unique Network Monitor Application. 


Ejemplo de rpcinfo (UNIX): 


O ES OS AL 
program VES CIO O 


100000 2 ED TII rpcbind 
100002 5 udp 7172 rusersd 
100011 2 udp 754 rquotad 
100005 1 udp 099 mountd 
100003 2 udp VAS 
100004 2 tcp 778 ypserv 


Escaneo de vulnerabilidades 


Una vez el sistema está localizado y se conocen datos sobre su configuración, se puede 
proceder a utilizar herramientas de ataque que prueben fallos de seguridad conocidos, ya sea 
por descuidos típicos de configuración o por errores (bugs) de seguridad publicados. Si su 
sistema está correctamente protegido y bastionado, no debe temer dichos ataques. Para ase- 
gurarse, es una buena práctica la realización de auditorias periódicas con dichas herramien- 
tas para conocer el estado de exposición de los sistemas. 


Nessus: Es la herramienta gratuita por excelencia. Permite realizar los rastreos y 
detecciones anteriormente descritas, así como la prueba de determinados fallos de 
seguridad conocidos sobre los sistemas objetivo. La herramienta posee un interfaz 
gráfico muy cuidado, así como la posibilidad de actualizar la base de conocimiento 
de ataques en todo momento. Está disponible en www.nessus.org. Se trata en más 
detalle en el siguiente capítulo. Vea también la Figura 5.11. 

S  Nikto: Es una herramienta destinada a realizar ataques dentro del segmento Web. 
Mediante Nikto es posible realizar ataques sobre servidores HTTP de manera auto- 
mática, buscando más de 2600 ficheros CGI potencialmente peligrosos, unos 625 
problemas de servidor o 230 específicos de una versión en concreto. Está disponible 
en Www.cirt.net. 


En la sección “Fortalecimiento de aplicaciones” del Capítulo 5 se describen más herra- 
mientas de escaneo de vulnerabilidades en aplicaciones Web y de base de datos Oracle y SQL 
Server. (Véase Tabla 4.7.) 
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Tabla 4.7. Programas de escaneo de vulnerabilidades. 


Nombre Empresa Plataforma URL 

Nessus GNU Windows / Unix WWW.Nessus.org 
Internet Scanner ISS Windows WWw.1ss.net 

Retina Eeye Windows WWW.eeye.com 
NetRecon Symantec Windows WWwWw.symantec.com 
LanGuard GFI Windows www.gfi.com 


Cracking de contraseñas 


Un sistema que posee autenticación puede ser atacado de varios modos. La situación más 
sencilla se plantea por la posibilidad de automatizar un intento de acceso en el cual se prue- 
ben todas las posibles combinaciones de usuario/contraseña, más conocido como ataque de 
fuerza bruta. El cracking de contraseñas por fuerza bruta no es deseable a priori para un 
atacante debido a que el tiempo que se consume es elevado, por lo que suele quedar como 
último recurso. Una segunda opción es la automatización del acceso nutriendo el valor de la 
contraseña con datos de un diccionario o si se desea con pequeñas modificaciones sobre el 
mismo. Por ejemplo, se pueden probar las palabras de un diccionario, las mismas palabras 
comenzando por mayúscula, poniéndolas al revés, etc. Este tipo de ataque está muy extendi- 
do y es conocido como ataque de diccionario, lo cual lleva a pensar que nunca es deseable 
utilizar palabras de paso que puedan estar albergadas en un diccionario. Por último, están los 
ataques selectivos sobre sistemas utilizando contraseñas predeterminadas o típicas, como 
temporal, 1234, abad, qwerty, change_on_install, manager, el propio nombre de usuario, 
etcétera. 
Las recomendaciones para evitar ataques son las siguientes: 


Cambiar siempre las contraseñas por defecto. 

Deshabilitar o borrar los usuarios por defecto. 

Eliminar la posibilidad de conexión en remoto a las cuentas privilegiadas. 

Evitar contraseñas que aparezcan en un diccionario. 

Elección de contraseñas robustas. Por ejemplo, con longitud mínima de 8 caracteres, 
incluyendo números, letras y caracteres especiales. 

Bloqueo ante un número limitado de intentos, 3 o 5 suelen ser valores razonables. 
Política de caducidad de contraseñas. Cada tres meses mínimo sería razonable un 
cambio. 

Obligue al usuario a cambiar su contraseña para garantizar que sólo es conocida por él. 


> DDD 


un D> D> 


Muchas de estas buenas prácticas pueden implantarse utilizando las directivas de contra- 
señas, explicadas en el siguiente capítulo. 

Existen básicamente dos posibles técnicas de intento de ataque a un sistema con valida- 
ción: ataque sin el conocimiento del hash de la contraseña y ataque sobre contraseñas de las 
que se conoce su hash. 


Cracking de contraseñas de hash no conocido 


El sistema que se utiliza normalmente es de prueba/error. Ante una autenticación se prueba 
un usuario con una contraseña, luego otra y otra, hasta que se termina dando con la correcta. 
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Esta tarea sería imposible si no existiesen programas que la automatizaran. Para UNIX 
existen multitud de aplicaciones entre las que destaca hydra del grupo THC, disponible en 
www.thc.org. 


# hydra -P/p claves -L/l usuarios Servidor Protocolo [http/pop3/telnet/imap/ftp/cisco] 


Un ejemplo para probar un ataque sobre la máquina 192.168.0.10 por HTTP con el usua- 
rio admin y el diccionario claves.txt. 


# hydra -P claves.txt -1 admin 192.168.0.10 http 


Como puede observarse, la utilización de mayúsculas o minúsculas para el diccionario o 
lista de usuarios implica que si es mayúscula el programa espera un fichero como argumen- 
to, s1 por el contrario es minúscula, espera una palabra simple. 

Para Windows existe una aplicación muy extendida denominada Brutus (véase Figu- 
ra 4.10), que permite realizar un ataque por diccionario o fuerza bruta sobre servicios remo- 
tos como HTTP, Telnet, POP3, FTP, SMB, IMAP o NNTP. Está disponible en www.hoobie.net/ 
brutus. Este método suele resultar muy lento porque se debe realizar una comunicación a 


TAS A A OO EI ojx] 


ariera rre E) pa 0 


>| EN >o E AREA 


Brute Force E| itibuted 
eaa odst OO O O O 


Target 172.16.105.1 verified 

Brute force will generate 11881375 Passwords. 

Maximum number of authentication attemple vall be 11881376 
Enqgadina target 17216,105,1 vath ATTR [Bazic Auth] 


imest Peeri O Sea HEHE 





Figura 4.10. Cracking de contraseñas en distintos servidores de aplicaciones con Brutus. 
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través de Internet. Generalmente no supera la velocidad de unas pocas contraseñas por se- 
gundo. 

Por otro lado, para el ataque por fuerza bruta sobre redes SMB está disponible una apli- 
cación dedicada para ello denominada NTBrute, con un rendimiento muy bueno, la cual 
puede ser descargada desde www.bbv.com/NTBrute.htm. 


Cracking de contraseñas de hash conocido 


Este sistema de cracking se basa en ir probando posibles palabras, calculando su hash y 
comprobando si coinciden con el hash conocido. Este sistema está ampliamente extendido 
dado que los ordenadores guardan normalmente los archivos de contraseñas en lugares estándar 
y siempre emplean métodos de hash con algoritmos públicos, lo cual es necesario para ga- 
rantizar que los programas sabrán encontrar la contraseña hasheada para saber si el usuario 
escribió correctamente su contraseña. No existe posibilidad alguna de volver atrás a partir 
del hash por ser algoritmos seguros comprobados. Los programas de cracking más utilizados 
para Unix son John The Ripper (www.openwall.com/ohn) y Crack (www.crypticide.com/ 
users/alecm), ambos gratuitos. 

El más popular para Windows es LC5 de la compañía (Wstake. Mediante LCS es posible 
realizar un craking de contraseñas para plataforma Windows con contraseñas almacenadas 
en formato NTLM o LANMAN, aceptando como entrada capturas de la red, el Registro o un 
archivo con la propia SAM. LC5 permite también realizar cracking de contraseñas sobre 
archivos de contraseñas de equipos UNIX. (Véase Figura 4.11.) 


IS ostake LC5 - [Corporate_Audit.lcs] Aces 


File view Session Schedule Remediate Help 


ECOLEG >na HOO 


Run Y Report X 


o 


Administrator a 0d Oh Om Os Dictionary 
charles aa 0 0d Oh im 425s Precomputed Hash 
serge aaaaa Dd Oh 1m 28s Precomputed Hash 
mike 2222 0d Oh 1m 30s Precomputed Hash 
fredc crackpot 0d Oh Om Os Dictionary 
22222 0d Oh Om 57s Precomputed Hash 
mmmm Dd Oh Om 575 Precomputed Hash 
aaa 0d Oh Om Os Dictionary 
aaaa 0d Oh 2m 38s Precomputed Hash 
aasaaa 0d Oh Om Os Dictionary 
YokoHama Od Oh Om 1s Dictionary 
z 0d Oh Om 15s Dictionary 
zz 0d Oh Om 395 Precomputed Hash 
theresa zzz Dd Oh 1m 36s Precomputed Hash 
william impunity 0d Oh Om 1s Dictionary 
ceasar 222222 0d Oh Om 44s Precomputed Hash 
Administrator  ScleROSIS 0d Oh Om 15 Dictionary 
ravi m Dd Oh Om 1s Dictionary 
Guest * missing * 
vlad mm 
george mmm 
thomas 
DerekLee 


Dd Oh 1m 385s Precomputed Hash 
Dd Oh Om 495 Precomputed Hash 
0d Oh Om 515 Precomputed Hash 
Dd Oh 1m 425 Precomputed Hash 
Dd Oh Om Os Dictionary 


OOO OMO O OOCO.OoOsosnossSsoxn..x..'x'0 000 








e 
G 
G 
G 
G 
G 
G 
G 
G 
G 
G 
G 
G 
G 
G 
G 
s 
G 
G 
G 
G 
G 
G 
G 


(=) 


rita 


05/19/2004 16:43:33 Cracked password for \serge with Precomputed Hashes. 






05/19/2004 16:43:35 Cracked password for \mike with Precomputed Hashes. a 


05/19/2004 16:43:41 Cracked password for \theresa with Precomputed Hashes. aak 
05/19/2004 16:43:43 Cracked password for wlad with Precomputed Hashes. f A 
05/19/2004 16:43:47 Cracked password for icharles with Precomputed Hashes. Ente rotos 
05/19/2004 16:43:47 Cracked password for DerekLee with Precomputed Hashes. stake 


05/19/2004 16:44:43 Cracked password for tamit with Precomputed Hashes. 
05/19/2004 16:44:43 Cracked password for huan with Precomputed Hashes. 
05/19/2004 16:44:44 Auditing session completed. v 


Ready 


Figura 4.11. Programa de cracking de contraseñas LC5. 
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Existe una herramienta del grupo oxid llamada CAIN y ABEL muy interesante que 
permite muchos de los ataques anteriormente descritos y algún otro que se explicará a conti- 
nuación. 

Los ataques van desde el craking de contraseñas o rastreo de tráfico hasta ataques por 
ARP spoofing. La herramienta está disponible en www.oxid.it. 


Sniffing 


Un sniffer es un programa que captura todo el tráfico que circula desde/a un equipo conecta- 
do a una red de ordenadores. Los hay de todos los tipos y para todos los sistemas operativos. 
Dependiendo de cuál sea la tipología de su red, un sniffer le permitirá interceptar todo el 
tráfico que circula por su red, incluido el de otros equipos, o solamente el tráfico que entra y 
sale de su ordenador. 

En las redes Ethernet, en las que los distintos equipos se conectan a un concentrador 
(hub) (véase la Figura 4.2), cuando un equipo envía un paquete, éste llega a todos los ordena- 
dores de la misma red. La cabecera del paquete contiene la dirección MAC de la tarjeta de 
red a la que va dirigido, de manera que sólo el equipo adecuado presta atención al paquete. 
Sin embargo, una tarjeta puede configurarse en modo promiscuo, en cuyo caso aceptará 
todos los paquetes, tanto si van dirigidos a ella como si no. 

Para entenderlo con claridad, imagínese un largo pasillo, con despachos a cada lado. 
Abre la puerta del suyo y grita en el pasillo a pleno pulmón: “¡Pepe! ¡Sal a la ventana!”. 
Resulta evidente que no sólo Pepe, sino también los ocupantes del resto de los despachos del 
pasillo habrán oído el mensaje, pero lo ignoran puesto que no va dirigido a ellos. A pesar de 
todo, si quisieran podrían salir también ellos a la ventana. 

Existen otras redes, como las redes conmutadas, en las que el sniffer sólo puede ver el 
tráfico que entra y sale de la máquina en la que está instalado. En la siguiente sección se 
describen las técnicas basadas en la falsificación ARP (ARP spoofing) para interceptar a 
pesar de todo el tráfico de otras máquinas. 

En definitiva, que si quiere ver todo el tráfico que va y viene de su máquina, puede 
hacerlo con la ayuda de un buen sniffer. En la Tabla 4.8 se listan algunos. 

Los sniffers resultan de especial utilidad en una gran variedad de aplicaciones: 


Monitorización en tiempo presente de datos de red. 
Análisis de tráfico de red. 

Estadísticas de red. 

Aprendizaje del funcionamiento de los protocolos de red. 


un DD» 


Podrá detectar el funcionamiento subrepticio de programas espía (véase la sección “Pro- 
tección frente al spyware y programas espía” del Capítulo 2) y de troyanos: verá a dónde se 
conectan, qué paquetes envían y reciben, etc. Pillará in fraganti a cualquier programa adware 
o spyware o a troyanos. (Véase Figura 4.12.) 

Existen programas que tratan de detectar interfaces en modo promiscuo en remoto, es 
decir, de detectar sniffers en una red. 

Para ello existen varias técnicas entre las que destacan: 


Prueba de DNS, en la que se envían a la red direcciones falsas para ver quién trata de 

resolverlas. 

Prueba de retardo ICMP, en la que se observan tiempos elevados de respuesta en 

máquinas que se suponen están en modo promiscuo. 

S Prueba de paquetes broadcast, direcciones de difusión que van a todos los equipos 
falsos en los que sólo los interfaces en modo promiscuo son capaces de contestar. 


D> 
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Tabla 4.8. Sniffers gratuitos. 


Nombre URL Plataforma Comentarios 


Monitor de red  www.microsoftcom Windows 2000/2003 — Con el sistema 


operativo 
Interfaz gráfica 
NG Sniff www.nextgenss.com/ Windows XP/ Versión beta 
sniff.htm 2000/2003 
dSniff www.monkey.org/ Unix Suite de herramientas 
=dugsong/dsniff de sniffing para 
contraseñas, 
direcciones de páginas 
Web, mensajes 
de correo, etc. 
Línea de comandos 
daSniff demosten.com/ Windows XP/ Versión de dSniff 
dasniff 2000/2003 portada a 
Windows 
Línea de comandos 
Ethereal www.ethereal.com Todas Una de las mejores 
Opciones 
Interfaz gráfica 
Sniffit reptile.rug.ac.be Unix Sniffer de propósito 
/~coder/sniffit/ Windows general 
sniffit.html 
www.symbolic.1t/ 
Prodott1/sniff1t.html 
TCPDump www-nrg.ee.lbl.gov Unix Línea de comandos 
WinDump windump.polito.1t Windows XP/ Línea de comandos 
2000/2003 


Ejemplo del programa promiscdetect para Windows, disponible en ntsecurity.nu: 


>promiscdetect 
PromiscDetect 1.0 - (c) 2002, Arne Vidstrom (arne.vidstromtntsecurity.nu) 
- http://ntsecurity.nu/toolbox/promiscdetect/ 
Adapter name: 
- Realtek RIL8139 PCI Fast Ethernet Adapter 
Active filter for the adapter: 
- Directed (capture packets directed to this computer) 
- Multicast (capture multicast packets for groups the computer is a member of) 
- Broadcast (capture broadcast packets) 
- Promiscuous (capture all packets on the network) 
WARNING: Since this adapter is in promiscuous mode there could be a sniffer running on 
this computer! 


194 Seguridad informática para empresas y particulares 


MA NS -Iof x] 
File Edit Capture Display Tools Help 




















8 5.864308 p15-178.province.worldnet atheréal TELNET Telnet Data ... 
3 6.298909 ethereal p15-178.province.worldnet TCP telnet > 1087 [ACK] Seg=334202£ 
30 6.298952 p15-178.province.worldnet ethereal TELNET Telnet Data ... 
31 6.758906 ethereal p15-178.province.worldnet TCP telnet > 1087 [ACK] S5eq=3342025 
32 7.728896 ethereal p15-178.province.worldnet TELNET Telnet Data ... 
33 7.728939 p15-178.province.worldnet ethereal TCP 1087 > telnet [ACK] Seq=531827< 
8.108902 ethereal p15178. province.worldnet TELNET Telnet Data ... 


z vince.worldnet etherea i 
. 185299 p15-178.province.worldnet ethereal TELNET Telnet Data ... 





8 
37 8.858912 ethereal p15-178.province.worldnet TELNET Telnet Data ... 
38 8.859065 p15-178.province.worldnet ethereal TELNET Telnet Data ... 
39 9.318908 ethereal p15-178.province.worldnet TCP telnet > 1087 [ACK] Seg=334202: | 4 


Frame (40 on wire, 40 captured) 
árrival Time: Aug 4, 1999 11:36:21.1882 
Packet Length: 40 bytes 
Capture Length: 40 bytes 
ae packet data 
No link information available 
Eh Internet Protocol 
version: 4 
Header length: 20 bytes 
HType of service: 0x00 (None) 
Total Length: 40 
Identification: 0x0554 
EP Flags: 0x4 
Fragment offset: 0 
Time to live: 64 
Protocol: TCP 
Header checksum: 0x7033 
Source: p15-178.province.worldnet.fr (195.3.15.178) 


Destination: ethereal (206.57.36.90) 

Ek Transmission Control Protocol 
Source port: 1087 (1087) 
Destination port: telnet (23) 
Sequence number: 531827430 
ácknowledgement number: 3342025582 
Header length: 20 bytes 

H- Flags: 0x10 

Window size: 32120 
Checksum: 0x3382 


0000 45 00 00 28 05 54 40 00 40 06 70 33 c3 03 Of b2 Ca Ta: BP 
0010 ce 39 24 5a 04 3f 00 17 1f b3 0a e6 c? 33 43 6e ES P.. 
0020 50 10 7d 78 33 82 00 00 P.3x3.. 





E 
| Filter:|| [<live capture in progress> 





Figura 4.12. Ethereal es uno de los mejores sniffers y además gratuito. 


Para la plataforma UNIX existe sentinel: 


# sentinel [metodo] [-t <objetivo>] [opciones] 
Metodos: 

L -a Test ARP test ] 

[ -d Test DNS test ] 

[ -i ICMP Test de Latencia PING ] 

[ -e ICMP Test Etherping ] 
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Opciones: 

[ -f <maquina no existente> ] 
[ -v mostrar versión ] 

[ -n <numero de paq/segs> ] 

D -I -dispositivo I. 


En definitiva, es bueno tener controlados los dispositivos para evitar que se puedan estar 
haciendo escuchas dentro de la red. Desde el punto de vista preventivo se puede evitar crear 
usuarios con el privilegio de activar el modo promiscuo; y desde el punto de vista de 
monitorización, es conveniente revisar con promisdetect, sentinel o mediante la prueba con 
programas en la propia máquina el estado de los interfaces para evitar escuchas. 

Para familiarizarse con TCP/IP es muy práctico realizar envíos de tráfico mediante gene- 
radores de paquetes y observar mediante sniffers la información transmitida. Para ello se 
puede utilizar el programa Engage Packet Builder, mediante el cual es posible enviar a la red 
cualquier paquete de información TCP/IP modificando los parámetros a su antojo. Es posible 
descargar de manera gratuita el producto Engage Packet Builder para Windows desde 
www.engagesecurity.com o Packet Excalibur, el cual es multiplataforma, disponible en 
www.securitybugware.org/excalibur. 


Wardialing 


Los módems no autorizados representan uno de los mayores peligros para la seguridad de las 
organizaciones hoy en día porque sortean controles de seguridad como los cortafuegos. Los 
wardialers se tratan más adelante en este mismo capítulo en la sección “Protección de acceso 
con módem telefónico”. 

El wardialer más conocido es THC-SCAN del grupo The Hackers Choice, el cual es 
posible ejecutar desde MSDOS o cualquier plataforma Windows. Permite la selección de un 
rango de números de teléfono sobre los que realizará el rastreo para detectar módems activos. 


Wardriving y Warchalking 


Las redes inalámbricas pueden ser accedidas desde fuera de la organización. Una técnica 
ampliamente extendida consiste en ir en coche rastreando la señal en busca de redes 
inalámbricas, en especial para localizar las que están desprotegidas. Wardriving se compone 
de dos palabras: War, que significa guerra, y Driving, cuyo significado es conducir. Por ello 
se utiliza para denominar este tipo de ataque en el cual se van rastreando redes disponibles 
mientras uno se va desplazando en coche. Warchalking consta igualmente de dos palabras, 
siendo chalk el acto de marcar con tiza, por lo que se utiliza la palabra para denominar el 
acto de marcado de edificios que albergan redes inalámbricas mediante símbolos especiales. 
Los intrusos realizan esta tarea por las ciudades dejando constancia de redes abiertas para 
facilitar la tarea a otros posibles intrusos. Este tipo de marcas secretas se han utilizado 
durante siglos por vagabundos, mendigos, bribones y pícaros, dibujadas sobre puertas o en 
paredes, para transmitir mensajes y avisos como “Vivienda de un poli”, “Dueño agresivo”, 
“Perro peligroso”, “Pueblo hostil”, etc. En el caso de las redes inalámbricas disponibles, la 
creación de las marcas de tiza se atribuye al escritor Ben Hammersley, publicadas en la Web 
de Matt Jones (www.blackbeltjones.com). Los dos símbolos básicos utilizados representan si 
la red está abierta o cerrada, para lo que se usan dos semicírculos espalda contra espalda o 
formando un círculo, respectivamente. El símbolo también incluye el SSID de la red 
inalámbrica. Con el tiempo, la moda de pintar estas marcas de tiza en las paredes ha ido 
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muriendo, dando paso a los mapas creados utilizando receptores GPS para marcar exacta- 
mente la posición de las redes inalámbricas. Estos mapas se publican en Internet, donde la 
lluvia no los borra. (Véase Figura 4.13.) 

NetStumbler es el programa más extendido en la plataforma Windows para realizar un 
rastreo de redes Wi-Fi disponibles. Basta con ejecutar el programa y pondrá la interfaz del 
sistema a capturar la señal de todas las redes accesibles en la zona. Netstumbler y Ministumbler, 
versión para PDA, están disponibles en www.netstumbler.com. (Véase Figura 4.14.) 

En un reciente estudio realizado a finales de 2003 en el centro de la ciudad de Madrid, se 
detectaron mediante la técnica de wardriving más de 800 puntos abiertos, y lo que es más 
importante, más del 70% no poseían ninguna medida de seguridad básica. Esto lleva a pen- 
sar lo poco protegidos que están los sistemas hoy en día, ya que con un equipo básico por un 
precio inferior a 100 euros más un portátil es posible realizar intrusiones en múltiples redes. 
Más adelante en este mismo capítulo se explica cómo proteger una red inalámbrica. 


let's y let's warchalk.! | let's warchalk.! | 


KEY | SYMBOL 


OPEN ssid 


ssid 


o 


bandwidth 


blackbeltjones com/warchalking 


(4) Fie Edit View Device Window Help 


Gi SH Sge 

+4 Channels 

=-4 SSIDs 

+4 3Com 

3- F Filters 
Ef Encryption Off 
2 Encryption On 
“Y ESS (AP) 
“Y IBSS (Peer) 
“Y CF Pollable 
“Y Short Preamble 
$ Default SSID 





1 AP active GPS: Disabled 


Figura 4.14. Rastreo de redes inalámbricas con NetStumbler. 
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Protección de las comunicaciones 


Si los ordenadores estuvieran aislados del mundo, sin ningún tipo de conexión con otros 
equipos, qué fácil sería asegurarlos: bastaría con implantar controles físicos. Sin embargo, 
las modernas tecnologías de la información van experimentando con los años una serie de 
requisitos como la conectividad a todas horas, el acceso remoto instantáneo a la información, 
el transporte de datos entre equipos a miles de kilómetros, todo ello garantizando en todo 
momento el CID, es decir, que los datos no se pierden (disponibilidad), no se dañan (integri- 
dad) y no se divulgan (confidencialidad). La seguridad de las comunicaciones se ocupa de 
investigar los riesgos que amenazan a la información durante su transmisión e implantar las 
contramedidas necesarias para mitigarlos. En la sección anterior se han repasado las amena- 
zas y herramientas de ataque más típicas en una red de comunicaciones. En esta sección se 
analizan uno por uno los dispositivos que conforman la infraestructura de comunicación. En 
el caso de particulares o pequeñas empresas (SOHO), esta infraestructura será muy sencilla, 
contando con uno o dos dispositivos (véase Figura 4.2), mientras que en empresas más gran- 
des la infraestructura se vuelve paulatinamente más compleja, al existir diferentes puntos de 
contacto con el exterior, segmentación en redes internas, servidores accesibles desde el exte- 
rior, etc. (véase Figura 4.4). 

A continuación se explican en detalle los principales puntos de protección para los si- 
guientes elementos: 


Dispositivos de interconexión (networking). 
Conexiones con módem. 

Conexiones de banda ancha. 

Puntos de acceso inalámbricos. 

Cortafuegos. 

Servidores de entrada a redes privadas virtuales. 


a D D> D D 


Por último, los sistemas de detección de intrusiones, aunque también se consideran dis- 
positivos de protección de la red, serán tratados en profundidad en el Capítulo 6. 


Protección de dispositivos de red 


En este apartado se examinan los aspectos de seguridad más asequibles de algunos disposi- 
tivos de interconexión como hubs, switches y routers. (Véase Tabla 4.9.) 


Tabla 4.9. Resumen de vulnerabilidades por equipo de comunicaciones. 


Dispositivo Descripción Posible solución 
MODEM Intentos de llamada a lugares Control riguroso de números 
con tarificación adicional permitidos 
HUB Posibilidad de sniffing de tráfico Tráfico cifrado o cambio a switch 
SWITCH ARP spoofing Direcciones MAC a fuego en 


los equipos 
Control de dirección MAC 
por interfaz 
ROUTER Inyección de rutas Protocolos de routing seguros 
Entrada de redes de manera estática 
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Hubs 


Los concentradores (hubs) son ampliamente utilizados para crear redes de bajo coste. Ac- 
tualmente están siendo poco a poco reemplazados por los conmutadores (switches), ya que 
las diferencias desde el punto de vista económico se han acortado bastante. Desde el punto de 
vista de seguridad, otorgan la posibilidad de realizar escuchas de manera sencilla, lo cual 
supone que la amenaza de intercepción de información para vulnerar la confidencialidad de 
la misma sea extremadamente probable. Debido a esta posibilidad, se deben detectar máqui- 
nas que pudiesen tener el interfaz de red en modo promiscuo. Con el fin de prevenir posibles 
atentados contra la confidencialidad, se debe cifrar el tráfico sensible para evitar su eventual 
escucha. La integridad de los mensajes transmitidos puede ser vulnerada de igual forma al 
poder transmitir desde cualquier puesto conectado a un concentrador falseando la dirección 
de otra estación del mismo segmento. Por último, la disponibilidad de la red puede verse 
afectada tanto por fallos en el cable de red y su conexión con el dispositivo tipo hub o por un 
propio fallo en el mismo. 


Switches 


Los conmutadores (switches) presentan como principal ventaja de seguridad con respecto a 
los concentradores la inserción de tráfico directo en las bocas correspondientes a cada equi- 
po. En otras palabras, hacen que el tráfico sea sólo remitido por las conexiones de los inte- 
grantes en la comunicación, impidiendo a priori las escuchas. Para vulnerar la confidencialidad 
es posible realizar ataques de hombre en el medio (man in the middle o MITM), lo cual 
supone la redirección de las conexiones para pasar por un punto intermedio donde poder ver 
la información en claro. 

Los conmutadores de gama media-alta en adelante suelen ofertar la posibilidad de crear 
redes privadas (VLAN) estancas dentro de un único dispositivo. A todos los efectos es como 
si se tratase de varios equipos. Es una opción útil desde el punto de vista de seguridad, ya que 
previene frente a posibles ataques de MAC spoofing, descritos a continuación. Para evitar 
que las VLAN sean vulnerables es importante impedir el marcado de tramas en los sistemas 
y la asignación estricta de VLAN ID a cada interfaz, ya que si no, mediante la manipulación 
de los paquetes podría generarse información desde un interfaz marcándolo como de una 
VLAN no correspondiente. 

Los ataques para poder realizar una monitorización en un switch se plantean desde dos 
enfoques: 


Engaño de las máquinas: El truco es simple. Dado que los sistemas guardan la MAC 
correspondiente a cada dirección IP en la caché ARP para no estar continuamente 
preguntando por la dirección correspondiente, el intruso C puede decir a la máquina 
A por ejemplo que la dirección IP de B está asociada a la MAC C y al equipo B le dice 
que la dirección IP A está asociada a la MAC C. Mediante esta simple técnica todo el 
tráfico entre las estaciones A y B pasará por la máquina C. Este ataque puede reali- 
zarse con ayuda del programa ettercap, disponible en ettercap.sourceforge.net o con 
el ya citado CAIN Y ABEL. Para evitar ser atacado mediante esta técnica se pueden 
grabar a fuego, es decir, como entradas estáticas, las direcciones físicas de las máqui- 
nas en los sistemas. (Véase Figura 4.15.) 

S Engaño al conmutador: Desde otro punto de vista, dado que la mayoría de conmuta- 
dores aprenden la ubicación de las direcciones físicas de los equipos al pasar los 
paquetes con dirección MAC origen por un interfaz, un intruso avispado podría 
anunciarse con la MAC de un determinado equipo y el conmutador actualizaría su 
tabla asociando dicha dirección al nuevo interfaz. No todos los dispositivos actuali- 
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ettercap M.6.6.6 


A ELSA E sE 


Tour IP: 192.168.060.201 MAC: BB:EB:7D:B2:7E:B2 Iface: devB Link: HUB 
Host: not resolved “—d option? (192.168.8.2012 : B6:EB:7D:B2:7E:B2 





Figura 4.15. Selección de equipos sobre los que realizar el ARP spoofing con Ettercap. 


zan sus tablas de manera automática y depende tanto del fabricante como de las 
opciones de seguridad habilitadas. Por ello conviene activar las opciones de preven- 
ción de falsificación de direcciones para evitar ser atacado con dicha técnica. Si se 
desea probar, existe un programa denominado taranis (www.bitland.net/taranis), que 
inyecta los paquetes sobre los conmutadores con las direcciones deseadas. Otra posi- 
bilidad menos funcional consiste en inundar con direcciones MAC distintas un de- 
terminado interfaz de un conmutador esperando que por sobrecarga de su tabla pase 
a funcionar en modo hub. Este ataque puede funcionar en algunos dispositivos de 
bajo coste, si bien en los equipos profesionales no es un ataque válido. 


Routers 


Los routers son los dispositivos encargados de encaminar el tráfico entre diferentes redes IP. 
Se trata de dispositivos que admiten un buen número de parámetros de seguridad, entre los 
que destacan: 


Fijar las rutas de manera estática para evitar se engañado. 

Aprender rutas dinámicamente sólo de orígenes confiables, direcciones IP o autenticar. 
Filtrar tráfico por dirección IP y puerto no deseado. 

Evitar propagar peticiones de broadcast en los routers frontera hacia el interior. 
Evitar el tráfico ICMP desde el exterior contra los sistemas internos. 


un DD > D 


Es importante desde el punto de vista de seguridad que en todos los equipos los usuarios 
y contraseñas utilizados para administrar sean seguros, esto es, contraseñas robustas, inhabi- 
litar usuarios por defecto y cambio de contraseñas iniciales. Debido a su extrema compleji- 
dad, no se ahondará más en la configuración de routers. 


Protección de acceso con módem telefónico 


A pesar de que el número de usuarios que se conectan a Internet a través del módem telefó- 
nico disminuye sin cesar en beneficio de los accesos mediante cable y mediante ADSL, lo 
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cierto es que todavía queda una base de clientes considerable. El módem es un dispositivo 
hardware que transforma las señales digitales utilizadas por los ordenadores en señales acús- 
ticas apropiadas para viajar a través de las redes telefónicas. Este proceso se conoce como 
modulación. En el otro extremo, se realiza el proceso complementario, la demodulación, 
transformando las señales acústicas de vuelta a señales digitales, unos y ceros, inteligibles 
por el ordenador. De hecho, su nombre deriva de la contracción de ambas palabras: modulador- 
demodulador. 

El módem telefónico no ofrece la posibilidad de ningún tipo de protección. Actúa como 
un dispositivo de conexión totalmente transparente entre Internet y el ordenador del usuario. 
La línea telefónica puede ser intervenida de forma pasiva y todo el tráfico transmitido regis- 
trado. Por defecto, el módem no utiliza ningún mecanismo de cifrado, por lo que la informa- 
ción será accesible al atacante. 


WarDialers 


Un wardialer (“marcador de guerra”) es un programa utilizado para identificar números de 
teléfono que corresponden a módems que aceptan llamadas entrantes. El programa va mar- 
cando los números de teléfono dentro de un rango definido, registrando aquellos que corres- 
ponden a módems a la escucha. En la mayoría de países no es ilegal llamar a números de 
teléfono, aunque en países como España sí que puede resultar muy caro, ya que en cada caso se 
establece una conexión para determinar si al otro lado responde un humano, un fax o un 
módem. Los módems todavía se utilizan en muchas organizaciones en servidores RAS o para 
mantenimiento de equipos. El mayor problema se presenta cuando los empleados conectan 
módems sin el conocimiento del departamento de TI. Los motivos pueden ser saltarse el filtro 
de contenidos del proxy Web o las restricciones del cortafuegos, y así poder acceder a sitios 
Web o a servicios de Internet que de otra forma les estarían vedados. Estos módems pueden 
abrir una brecha de seguridad importante, ya que burlan otros controles de seguridad perimetral 
como los cortafuegos. El uso de módems debería contemplarse en la política de seguridad de la 
empresa y comprobarse periódicamente mediante herramientas de wardialing. Puede encon- 
trarse un completo listado de wardialers en neworder.box.sk/codebox.links.php?£key=wardil. 


Dialers 


En los últimos años está creciendo el número de sitios Web que anuncian el acceso gratuito 
a contenidos. El gancho consiste en ofrecer contenidos ilimitados, normalmente de tipo 
pornográfico, pero también de ocio y entretenimiento en general, como fotos, vídeos, relatos, 
citas, horóscopos, juegos, fondos para PC, etc., sin inmiscuir a la tarjeta de crédito para 
pagar por ellos o verificar la edad. El internauta medio, reacio a utilizar su tarjeta en Internet, 
se siente inmediatamente engatusado por este señuelo. Aparentemente, lo único que hay que 
hacer para poder disfrutar de esa oferta sexual inagotable se reduce a instalar un programa 
especial, llamado dialer, que permitirá la visualización de los contenidos. Una vez descarga- 
do el software e instalado en el ordenador, se ejecuta y efectivamente se accede a miles de 
fotos, vídeos, programas, bromas, chats, prensa rosa, postales, etc. Lo que a lo mejor no ha 
advertido el usuario si no ha leído bien todos los mensajes de aviso y licencias de uso, siem- 
pre y cuando éstos estén presentes, en castellano y con un tamaño legible, es que tras instalar 
el programa éste reconecta el módem a un servicio de tarificación adicional. Se entiende por 
“servicios de tarificación adicional” aquellos servicios que, a través de la marcación de un 
determinado código, conllevan una retribución específica y añadida al coste del servicio 
telefónico disponible al público, por la prestación de servicios de información o de comuni- 
cación determinados. Por ejemplo, los 803 para servicios de adultos, 806 para ocio y entrete- 
nimiento y 807 para servicios profesionales, cuya tarifa puede rondar un euro por minuto 
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sin IVA. Evidentemente, el teléfono está a nombre del prestador del servicio, es decir, del 
propietario de la página, quien recibe un dividendo de cada minuto que el incauto pase 
visualizando pornografía u otros contenidos. 

Con el fin de amparar los derechos de los consumidores y evitar fraudes, esta actividad 
está regulada por un código de conducta (www.setsi.mcyt.es/secinfor/cod_cond/cod_cond.pdf): 
los sitios que utilizan dialers para cobrar a sus clientes deben avisar claramente y sin ambi- 
gúedades del precio del servicio, no deben estar conectados al número de tarificación adicio- 
nal durante más de 30 minutos, si recaban información personal de los clientes, ésta debe 
estar protegida de acuerdo con los principios que rigen la LOPD, etc. 

Una de las formas más expeditas para evitar fraudes con estos números de teléfono o para 
evitar gastos desmedidos porque un miembro de la oficina o de casa los utilice ingenuamen- 
te, consiste en desconectarlos de la línea de teléfono contratada. Llamando a su operador de 
telefonía le informa de que quiere dar de baja esos números, de manera que no puedan 
marcarse desde su teléfono. 

Otra medida menos drástica consiste en instalar programas especiales para detectar o 
bloquear la acción de los dialers. Un programa tal es CheckDialer, desarrollado por Hispasec 
(www.hispasec.com/software/checkdialer). Su misión consiste en interceptar la comunica- 
ción entre Windows y el módem, detectar el número de teléfono que se marca al intentar una 
conexión y permitir la marcación según la configuración. 


Protección de acceso de banda ancha 


Las conexión a Internet a través del módem permiten alcanzar unas velocidades que rozan 
los 56 Kbps. Hoy en día suele denominarse banda ancha a los accesos a 256 Kbps o más. Las 
dos tecnologías de acceso de banda ancha más populares en España son el ADSL y el cable. 


ADSL 


Las tecnologías xDSL permiten utilizar la línea de teléfono convencional para un acceso a 
Internet a alta velocidad. Existen muchas tecnologías de este tipo, como HDSL, ADSL, 
RADSL, VDSL, siendo la más popular en España ADSL (Asymmetric Digital Subscriber 
Line o línea de abonado digital asimétrica). 

Se necesita instalar o bien un módem ADSL o bien un router ADSL, mucho más caros 
que los módems telefónicos convencionales. La asimetría en el ADSL obedece a que la velo- 
cidad de transmisión de datos es mayor en un sentido que en otro, debido a que normalmente 
se pasa más tiempo descargando información desde Internet que enviándola. Por supuesto, 
la excepción la constituye un ordenador que actúe como servidor, opción cada vez más fre- 
cuente en algunos usuarios de tarifa plana de ADSL que utilizan su propio equipo como 
servidor Web o servidor de archivos multimedia, conectado a Internet las 24 horas del día. 
En sus versiones más rápidas, los valores máximos oscilan en torno a los 2 Mbps para 
recepción de datos por parte del usuario y de 300 Kbps para envío de datos. Por supuesto, 
cuanto mayor sea la velocidad contratada, más se tendrá que pagar por ella. Los contratos 
más usuales ofrecen una velocidad de 256 Kbps de bajada y 128 Kbps de subida. 


Cable 


La fibra óptica, también conocida popularmente por cable, es un medio físico de transmisión 
de información digital muy barato. Permite alcanzar velocidades vertiginosas para un volu- 
men de cable mínimo, inferior al espesor de un cabello. Las ventajas de la fibra óptica frente 
al cobre son innumerables, por lo que se está produciendo, allí donde es viable, la paulatina 
sustitución de éste por aquélla. La misma fibra sirve para integrar una enorme variedad de 
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servicios de telecomunicaciones, desde llamadas telefónicas hasta TV a la carta y música 
HIFI, incluyendo por supuesto el acceso de alta velocidad a Internet, con velocidades teóricas 
de bajada de hasta 34 Mbps, es decir, 600 veces más rápido que con un módem convencional. 

Normalmente, las redes de cable son híbridas: se llega hasta los abonados a través de 
cable coaxial, los cuales se conectan a una espina dorsal de fibra óptica, de mayor ancho de 
banda que el coaxial, que llega hasta la central de la operadora, encargada de distribuir todos 
los servicios: T'V digital, conexión con el PSI, telefonía de voz, etc. El usuario conecta su 
ordenador a la red de cable a través de un módem semejante a los convencionales. 

No obstante, las velocidades de transmisión y de recepción de datos son asimismo 
asimétricas. Esta cifra exorbitante se refiere únicamente a la velocidad de bajada, ya que la 
de subida es de alrededor de 2 Mbps, que comparado con los 128 Kbps de ADSL, supone una 
mejora sustancial en cualquier caso. 

A diferencia del ADSL, que utiliza las líneas de cobre ya instaladas y que en España 
puede ser contratado por abonados que vivan cerca de una central del operador, la conexión 
por cable está supeditada a que una compañía de cable haya creado su propia infraestructura 
de acceso cerca de su hogar. Por suponer una inversión supermillonaria, las redes de cable 
aún no están suficientemente desplegadas. Si ninguna compañía ha tirado fibra óptica junto 
a su vivienda, no podrá disfrutar de sus ventajas. 


Vulnerabilidades 


Los accesos de alta velocidad plantean nuevos problemas de seguridad: 


Naturaleza compartida: Dependiendo del proveedor de servicios de Internet (PSI), 
podría darse el caso de que los usuarios de cable de una misma zona o edificio com- 
partan la misma subred cuando se conectan a Internet, como si todos ellos estuvieran 
en la misma red local. En estas circunstancias, un ordenador con un sniffer instalado 
podría interceptar el tráfico de otros usuarios de cable de la misma subred. Si además 
existen equipos con recursos compartidos de Windows desprotegidos, podrían ser 
utilizados para depositar en ellos herramientas de ataque, puertas traseras y otros 
programas con fines maliciosos. 


Â Siempre en linea: El hecho de que el equipo se encuentre siempre en linea aumenta 
la oportunidad de ataque. Téngase en cuenta que los hackers atacan blancos escogi- 
dos al azar. Cuanto más tiempo se encuentre un equipo conectado, más veces caerá 

= dentro del rango de direcciones IP escaneado por un atacante. 

A IP fija: Muchos usuarios de cable y ADSL tienen direcciones IP fijas. Aunque desco- 


necten el equipo, la próxima vez que lo enciendan les será asignada la misma direc- 
ción IP. Incluso aunque la dirección IP asignada sea diferente cada vez, teniendo en 
cuenta que estos equipos suelen permanecer conectados a Internet largos períodos de 
tiempo, muchísimo más largos que con un módem, a todos los efectos es como sl 
contaran con IP fija. De esta forma, se está facilitando los ataques externos. 

8 Alta velocidad: La elevada velocidad de estas conexiones puede volverse en contra 
del usuario. Una vez que el equipo ha sido comprometido, el atacante comenzará a 
cargar en él archivos con gran rapidez: puertas traseras, rootkits, programas de ata- 
que, etc. Además, se convierten en blancos más golosos, pues permiten que se realice 
desde ellos ataques más potentes o instalar servidores. 


Contramedidas 


Las contramedidas para el acceso a banda ancha se pueden aglutinar básicamente en dos 
grupos: 
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Protección de la conexión: Resulta conveniente ocultar las direcciones internas me- 
diante NAT (véase Figura 4.3) y dejar la responsabilidad de conexión al exterior al 
router frontera, de esta manera el sistema no será accesible desde el exterior salvo 
por los puertos que se desee activar en el router. Una protección mediante la instala- 
ción de un cortafuegos que separe los equipos internos de las conexiones externas 
también es una buena opción, así como la monitorización mediante un IDS de los 
posibles ataques recibidos. 

8 Protección del sistema: El sistema o sistemas que estén ubicados tras el dispositivo 
de interconexión con la red externa deben estar bastionados adecuadamente, para lo 
que deben eliminarse los servicios innecesarios así como mantener el sistema actua- 
lizado desde el punto de vista de parches de seguridad. Véase la sección “Fortaleci- 
miento del sistema operativo” del Capítulo 5. 


Protección de redes inalámbricas 


Las redes inalámbricas están extendiéndose en la actualidad dentro de todos los ámbitos de 
las redes tradicionales, redes personales, área local y área extendida. Como principal des- 
ventaja presentan la reducida velocidad de transmisión de datos, pero en contrapartida ofre- 
cen unos costes menores y rapidez de despliegue, así como una flexibilidad sin igual gracias 
a la no existencia de cables. 

Desde el punto de vista de la seguridad, hay que destacar la frontera difusa del perímetro 
de protección en las redes inalámbricas, ya que ante una red cableada por un edificio es 
posible proteger el acceso a los sistemas asegurando el propio cable, mientras que en redes 
inalámbricas lo que se pretende proteger es el aire, por lo que es importante delimitar el 
perímetro o radio de alcance. En la Tabla 4.10 se listan los tres principales tipos de redes 
inalámbricas empleados, divididos por alcance, junto con las principales tecnologías para 
cada uno de ellos. 

Desde el punto de vista de seguridad también cabe destacar la vulnerabilidad que supone 
que los sistemas de protección por contraseña para múltiples tecnologías inalámbricas se 
basen en PIN, contraseñas numéricas tradicionalmente de sólo 4 dígitos, por facilitar su uso, 
ya que es frecuente el uso de estas tecnologías en equipos que no disponen de teclado QWERTY 
completo. Está claro que es siempre más seguro activar una autenticación por PIN que nada, 
pero dichos sistemas de protección son a menudo insuficientes por ser vulnerables a ataques 
por fuerza bruta en los cuales se prueban de manera automática todas las combinaciones 
posibles. Para contrarrestar dicha vulnerabilidad es importante que los sistemas protegidos 
por PIN implementen una política de bloqueo ante un número reiterado de intentos fallidos, 
típicamente 3 o 5. 


Redes personales 


Dentro del entorno de redes personales (Personal Area Network o PAN) destacan en la ac- 
tualidad dos tecnologías: infrarrojos (Infrared Data Association o IrDa) y Bluetooth. 


Tabla 4.10. Tecnologías inalámbricas. 


Tipo de red Alcance Distancias Tecnologías 
Personal Corto Hasta 20 metros IrDa o BlueTooth 
Area local Medio Varios kilómetros (<10) Wi-Fi o LMDS 


Área extendida Largo Ilimitado GSM, GPRS o UMTS 
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Infrarrojos 


IrDa es un estándar para la transmisión de información por ondas infrarrojas. Permite la 
transmisión desde un dispositivo a otro de manera direccional y con visión directa libre de 
obstáculos. 

Para su protección básica basta con activar su conexión sólo cuando es necesaria y con- 
trolar la posible captura por elementos intermedios. 


Bluetooth 


Bluetooth está diseñado con el objetivo de proporcionar una red de área personal a dispositi- 
vos pequeños, de corto alcance y bajo consumo, como teléfonos móviles, PDA, cámaras y 
portátiles. Su misión principal es reemplazar los cables. Por ejemplo, se puede utilizar para 
sincronizar la lista de teléfonos de un móvil y una PDA sin necesidad de cables. Opera en la 
misma banda de 2,4 GHz de Wi-Fi, pero con un alcance de unos 10 metros. Presenta ventajas 
evidentes sobre IrDa por poseer una mayor velocidad, alcance y control de seguridad. Cada 
dispositivo cuenta con una dirección única de 48 bits según el estándar IEEE 802 y las 
conexiones pueden realizarse uno a uno o uno a múltiples. El rango de alcance máximo es de 
10 metros y la velocidad puede alcanzar los 2 Mbps. Su mayor desventaja frente a Wi-Fi es 
su baja velocidad de transferencia. 

Para su protección básica basta con activar su conexión sólo cuando sea necesario y 
activar el control por contraseña para la transmisión. La técnica por la que un intruso roba 
información transmitida por una conexión Bluetooth es conocida como BlueSnarfing. Me- 
diante dicha técnica es posible por ejemplo capturar la agenda de un teléfono móvil con la 
conexión Bluetooth activada y sin protección. 

Las opciones de seguridad típicas en Bluetooth son dos: 


Visibilidad del equipo ante todo el mundo o controlar para quién (véase Figura 4.16). 
S Establecer un PIN, contraseña numérica, para proteger el acceso sobre determinados 
servicios. 


Para cerciorarse de que su configuración de dispositivos Bluetooth es la adecuada utilice 
la herramienta RedFang creada por Atstake, que permite realizar ataques sobre dispositivos 
Bluetooth, la cual está disponible en www.atstake.com. 


Redes de área local 


Las tecnologías más utilizadas para la construcción de redes de área local inalámbricas son 
Wi-Fi y radio enlace. 


Wi-Fi 


Dentro del entorno doméstico y oficina (SOHO) está utilizándose cada vez más el sistema 
Wi-Fi, mediante el cual es posible crear una red sin necesidad de cables. El sistema Wi-Fi 
desarrollado en las normas 802.111 y posteriores, ofrece una solución de bajo coste y flexible 
para la mayoría de pequeñas redes actuales. Se presenta con velocidades que oscilan entre 
los 11 Mbps y 54 Mbps, con la ventaja de no necesitar cableado. 

Las mayores amenazas a las que se enfrentan las redes inalámbricas se ilustran en la 
Figura 4.17. 

Entre los ataques pasivos, que no modifican la información en tránsito, pero representan 
una pérdida de confidencialidad, se encuentran: 
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Configuración Bluetooth i xj 


Servicios locales | Aplicaciones cliente | Hardware | 
General Accesibilidad | Detección | 


[e Permitir que otros dispositivos Bluetooth detecten este equipo. 
Dispozitiwos con permiso para conectarse a este equipo 


Permitir: Todos los dispositivos. Š 


Sel A lia 
Sel T odos los dispositivos. 
Sólo los dispositivos gue aparecen mås abajo. 








Además de un avizo visual, puede seleccionar un awisa 


Eliminar | 
sonoro que le notifique que +e ha solicitado un código FIM. 
Seleccione un archivo de audio... | 


Cancelar | Aplicar Ayuda | 





Figura 4.16. Protección de conexión Bluetooth. 


Sniffing: El tráfico de redes inalámbricas puede espiarse con mucha más facilidad 
que el de una red de cable. Basta con disponer de un portátil con una tarjeta inalámbrica 
y un programa como AIrSNORT (airsnort.shmoo.com), para interceptar todo el trá- 
fico que circula entre las estaciones inalámbricas. Evidentemente, el tráfico que no 
haya sido cifrado, será accesible para el atacante. 

8 Análisis de tráfico: El atacante obtiene información por el mero hecho de examinar 
el tráfico y sus patrones: a qué hora se encienden ciertos equipos, cuánto tráfico 
envían, durante cuánto tiempo, etc. 


Sniffing Ana E Suplantación Reactuación Modificación DoS 
de tráfico 


Figura 4.17. Clases de ataques en redes inalámbricas. 
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Entre los ataques activos, que sí modifican la información, por lo que representan una 
pérdida de integridad y/o disponibilidad, se encuentran: 


D> 


NOTA 


Suplantación: Cuando el único mecanismo de protección consiste en limitar el acce- 
so en función de la dirección MAC de la tarjeta inalámbrica, un atacante puede 
utilizar un sniffer como AirSNORT para hacerse con varias direcciones MAC váli- 
das. A continuación, utilizando un programa como SMAC (www.klcconsulting.net/ 
smac) cambia la dirección MAC de su tarjeta y ya podrá acceder al AP. El análisis de 
tráfico le ayudará a saber a qué horas debe conectarse suplantando a un usuario u 
otro. Otra forma de suplantación consiste en instalar puntos de acceso ilegítimos 
(rogue) con el fin de engañar a usuarios legítimos para que se conecten a este AP en 
lugar del autorizado. 

Reactuación: El atacante intercepta paquetes utilizando un sniffer y posteriormente 
los vuelve a inyectar en la red, para repetir operaciones que habían sido realizadas 
por el usuario legítimo. 

Modificación: El atacante borra, manipula, añade o reordena los mensajes transmitidos. 
Denegación de servicio: El atacante puede generar interferencias hasta que se produz- 
can tantos errores en la transmisión que la velocidad caiga a extremos inaceptables o 
la red deje de operar en absoluto. Otros ataques DoS inalámbricos consisten en solici- 
tudes de autenticación a una frecuencia tal que interrumpa el tráfico normal; solicitu- 
des de deautenticación de usuarios legítimos, que no pueden ser rechazadas según el 
estándar 802.11, imitar el comportamiento de un AP legítimo para que la víctima se 
conecte a él; o transmitir continuamente tramas RTS/CTS para silenciar la red. 


El uso de teléfonos inalámbricos, intercomunicadores de bebés u hornos de microondas puede interfe- 
rir con el funcionamiento de una red Wi-Fi, disminuyendo su velocidad de transmisión. 


Es posible nivelar la balanza entre seguridad y facilidad de uso: no tiene por qué tener 
una red inalámbrica económica y flexible siendo a la vez vulnerable. A continuación se 
presentan los consejos básicos para aumentar la seguridad en una red inalámbrica. 


Seguridad básica al alcance de cualquiera 


> D> D> 


uN 


Eliminar los valores predeterminados del equipamiento adquirido: valores por de- 
fecto del SSID, contraseñas de acceso, etc. En www.cirt.net/cg1-bin/ssids.pl se listan 
los valores de SSID predeterminados de varios fabricantes. 

Evitar la emisión continua del identificador de red (SSID) por multidifusión 
(broadcast), de manera que un intruso no pueda visualizar fácilmente la información 
del identificador de la red. 

Gestión de los dispositivos para garantizar su configuración óptima. 

Gestión de la frecuencia, para evitar una emisión fuera de los límites del perímetro 
de la empresa. 

Activar el control por dirección física (MAC) de acceso a la red. 

Activar la contraseña de equivalencia con equipos cableados (Wired Equivalent Privacy 
o WEP). Mediante el empleo de dicha clave, sólo los que la conocen podrán entrar a 
la red inalámbrica. 


Seguridad reforzada para empresas 


Proteger la red de acceso donde se ubique el punto de acceso (AP) mediante 
cortafuegos. 


> DD 


un DD» 
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Realizar una VPN mediante IPSEC o L2TP para el acceso a la red destino. 
Autenticar el acceso mediante las extensiones EAP - 802.1X. 

Utilizar el estándar nuevo de conexión segura: WPA, el cual proporciona un cifrado 
robusto y autenticación mediante 802.1X. 

Instalación de IDS inalámbrico para detectar ataques. 

Instalación de AP falsos para detectar ataques. 

Auditorías de seguridad periódicas para garantizar que la política de seguridad de 
redes inalámbricas está siendo cumplida. 


Cabe destacar como una arquitectura de seguridad muy robusta la que utiliza un servidor 
de túneles y un cortafuegos para proteger el acceso por Wi-Fi a la organización, como se 
observa en la Figura 4.18. En este tipo de configuración es necesario que el usuario realice 
con posterioridad a la unión mediante Wi-Fi una autenticación contra el servidor VPN para 
realizar una entrada a la red. Una vez en ella todo el tráfico irá cifrado y mediante el cortafuegos 
es posible limitar los destinos alcanzables. 


Configuración del punto de acceso (AP) 


1. 
Ži 


3. 





Conecte el WAP a un punto de su red física. 

Utilice su navegador Web para conectarse a la aplicación de configuración de su 
wireless AP. El fabricante le indicará qué dirección IP trae por defecto. 

Es importante que configure los siguientes valores: el SSID, es decir, el nombre de la 
red inalámbrica. Puede escribir cualquier texto para identificarla. Dentro de España, 
el número de canal será 10. Conviene que habilite el protocolo WEP, para cifrar los 
datos que viajan por el aire entre los ordenadores de la red inalámbrica. Utilice una 
longitud de clave de 128 bits y escriba los 104 primeros bits de la misma. Puede 
utilizar hasta cuatro claves distintas e 1r rotándolas con el tiempo. 














Menor seguridad Mayor seguridad 


Red Interna 


IN 
HA 
A 
A 
RA 
g2 
P><Ó 
E 


Servidor VPN 


Figura 4.18. Esquema de protección Wi-Fi mediante arquitectura segura con una VPN y 


un cortafuegos. 
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4. 


Configure la dirección IP de LAN del WAP. Puede asignarle una IP fija o bien utili- 
zar un servidor de DHCP. Si utiliza un rango estático poco común estará complican- 
do la configuración para un intruso potencial, pero si toda su información viaja en 
claro no servirá de nada, ya que mediante un sniffer podrá deducir fácilmente el 
direccionamiento de su red. 

Si lo desea, el WAP puede utilizarse como servidor de DHCP para asignar direccio- 
nes a los ordenadores inalámbricos que se conecten. Configure el rango de direccio- 
nes asignables de modo que no entre en conflicto con el servidor DHCP de la red 
local. 

Una última característica que conviene configurar en todo WAP es el filtrado de 
direcciones MAC. Este filtrado se utiliza para permitir/denegar el acceso a la red 
inalámbrica a otros equipos en función de la dirección MAC de sus tarjetas de red. 
La opción más segura consiste en especificar una lista de direcciones MAC permiti- 
das y denegar el acceso a cualquier otra dirección. 


Configuración del cliente o clientes 


1. 


Haga doble clic sobre el icono de conexión inalámbrica del área de notificación. 
Se abrirá la ventana Propiedades de Conexiones de red inalámbricas. (Véase Fi- 
gura 4.19.) 

Pulse el botón Avanzadas. Se abre la ventana Opciones avanzadas. 

Seleccione la opción Sólo redes de punto de acceso (infraestructura). 

Asegúrese de que la casilla de verificación Conectar automáticamente a redes no 
preferidas está desactivada y pulse Aceptar. De esta forma se asegura la conexión 
exclusivamente al WAP deseado. 

De vuelta en la ficha Redes inalámbricas, pulse el botón Agregar. 


-i Propiedades de Conexiones de red inalámbricas 2 BA 


General | Redes inalámbricas | Avanzadas 


Redes disponibles: 


Haga clic en Configurar para conectarse a una red disponible. 


Actualizar 


Redes preferidas: 


Conectar automáticamente a redes disponibles en el orden 
siguiente: 


* SSIDO1 


Más información acerca de como establecer una 


configuración de red inalámbrica. Avanzadas 
Aceptar Cancelar 





Figura 4.19. Definición de la red Wi-Fi en XP. 
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6. Enla ventana Propiedades de red inalámbrica especifique un nombre de red (SSID) 
para que identifique a su WAP. Debe ser el mismo con el que bautizó a la red 
inalámbrica en el paso 3 de la configuración del Wireless AP. 

7. Configure la clave WEP. Para ello, verifique las dos casillas, Cifrado de datos (WEP 
habilitado) y Autenticación de red (modo compartido). En el cuadro de texto 
Clave de red, escriba la clave de red que configuró en el paso 3 anterior. (Véase 
Figura 4.20.) 

8. Pulse Aceptar. 

9. En la lista Redes preferidas verá que acaba de aparecer la nueva red, controlada por 
el WAP. Pulse Aceptar. 


Adicionalmente, en Windows XP puede configurar dos parámetros más: Activar el ser- 
vidor de seguridad de conexión para este interfaz, mediante el cual se pueden poner re- 
glas de filtrado de paquetes que se aplicarán al interfaz en cuestión y el uso de 802.1X como 
protocolo de autenticación individual mediante certificado digital o contraseña. WEP tiene 
la misión de ofrecer los servicios de seguridad de autenticación, integridad y confidencialidad, 
pero ha estado plagado de problemas y debilidades, ya que no proporciona gestión de claves, 
los vectores de inicialización son cortos y forman parte de la propia clave WEP, la integridad 
se calcula con CRC32, etc. Por este motivo, aunque es mejor WEP que nada, debe pasarse al 
nuevo estándar 802.1X. (Véase Figura 4.21.) 


Radio enlaces 


Además del mencionado estándar Wi-Fi, existen otras tecnologías de radio enlace, como: 


LMDS (Local Multipoint Disribution System): Tecnología de envío de información 
en la banda de los 28 GHz con posibilidad de alcance de hasta 5 kilómetros. 


Asociación | Autenticación 
Mombre de red (55101): 
Clave de red inalámbrica (WEP) 


Esta red requiere una clave para lo siguiente: 


LT] Autenticación de red {modo compartida) 


Clave de red: TT 


Longitud de la clave: 1 


C] indice de clave (avanzado): 





Aceptar Cancelar 


Figura 4.20. Configuración de la seguridad en Wi-Fi mediante WEP en Windows XP. 
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II es 


Asociación | Autenticación | 


Seleccione esta opción para proporcionar acceso autenticado a redes 
Ethemet inalámbricas. 


Habilitar el control de acceso a la red mediante IEEE 80.1% 





Tipo de EAP: | Tarjeta inteligente u otro certificado ka 


EAP protegido (PEAF)} 


Tarjeta inteligente u otro certificada 
Propiedades 


Autenticar como equipo cuando la información de equipo esté disponible 


[|] Autenticar como invitado cuando el usuario o la información de equipo no 
estén disponibles 


Aceptar Cancelar 





Figura 4.21. 802.1X en Windows XP. 


La información es transferida mediante microondas pudiendo alcanzar velocidades 
teóricas de 2 Gbps de bajada y 200 Mbps de subida. 

8  DECT (Digital Enhanced Cordless Telecommunication): Tecnología utilizada en los 
teléfonos inalámbricos para el hogar. DECT está diseñado para ubicaciones fijas en 
las que el equipo debe moverse por unas dimensiones controladas y transmitir infor- 
mación sin estar conectado a un cable. 


Redes de área extendida 


Dentro del entorno de área extendida, basado en el uso del teléfono móvil, existen comunica- 
ciones que por la propia naturaleza de la transmisión pueden dividirse en dos grandes gru- 
pos: analógicas y digitales. 


Comunicaciones analógicas 


Dentro del segmento analógico están presentes las conexiones prestadas durante la primera 
generación de teléfonos móviles. Desde el punto de vista de seguridad es deficiente, ya que 
las comunicaciones pueden ser interceptadas e interpretadas escuchando en la banda apro- 
piada. 


Comunicaciones digitales 


Existen tres tecnologías operando en la actualidad en Europa dentro de este segmento: la 
segunda generación, denominada GSM; la de transición o generación 2.5, llamada GPRS; y 
la tercera generación, UMTS. 
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GSM (Global System Mobile Communications): El sistema más extendido para las 
transmisiones de comunicaciones inalámbricas de área extendida. Fue introducido 
en 1991 y está disponible en más de 100 países. GSM es un sistema orientado a 
conexión por lo que no está optimizado para transmisiones de datos, alcanzando tan 
sólo velocidades de 9600 baudios. Desde el punto de vista de seguridad, la informa- 
ción viaja cifrada y los terminales se autentican en base a la identidad de la tarjeta 
SIM. Aunque en la actualidad está demostrada la debilidad de sus algoritmos 
criptográficos, la complejidad del ataque disuade a los intrusos. 
GPRS (General Packet Radio Service): Orientación a paquetes de la red GSM, me- 
diante la cual es posible alcanzar velocidades teóricas de 115 Kbps. Para la protec- 
ción de transmisiones confidenciales se recomienda utilizar redes privadas virtuales 
(VPN), ya que la información por defecto solamente viaja cifrada con los mismos 
algoritmos que en GSM. 
8 UMTS (Universal Mobile Telecommunications Service): Tercera generación de re- 
des inalámbricas de área extendida, utiliza transmisión orientada a paquetes alcan- 
zando velocidades teóricas de 2 Mbps. 


D> 


Los ataques dentro del mundo GSM/GPRS/UMTS son bastante complejos y están poco 
extendidos. Si quiere profundizar en la materia y desea realizar análisis de seguridad, puede 
aprovecharse de las herramientas desarrolladas por Atstake (www.atstake.com) para el mó- 
vil P800: 


PDACat: Netcat para PDA. 

URLScan: Rastreador de URL. 

ULookup: Códigos numéricos de las URL. 
NetScan: Rastreador UDP y TCP. 
WAPScan: Rastreador de WAP. 


a D D> D> 


Filtrado mediante cortafuegos 


En su acepción común, un cortafuegos es una vereda ancha que se abre en los sembrados y 
montes para que no se propaguen los incendios. Su análogo informático persigue el mismo 
objetivo: aislar su red interna del resto del mundo, como si del foso de una fortaleza medieval 
se tratara, proporcionando un único punto de entrada y salida. El cortafuegos restringe el 
acceso de usuarios externos a la red interna y de usuarios internos al exterior, de forma que 
todo acceso tiene lugar exclusivamente a través de un punto cuidadosamente controlado, 
algo así como el puente levadizo. De esta forma se evita que los atacantes alcancen otras 
defensas interiores y que se produzcan filtraciones de información desde dentro, como las 
causadas por troyanos. Por este motivo, el cortafuegos se instala en el punto en el que su red 
interna se conecta con Internet. 

Dado que todo el tráfico que entra desde Internet o sale desde la red interna lo hace a 
través del cortafuegos, éste puede examinarlo y, en función de sus reglas, posee la potestad 
de decidir si es aceptable o no y si lo retransmitirá a su destinatario. Ahora bien, es funda- 
mental definir correctamente lo que significa “aceptable”. Para ello se confecciona una polí- 
tica de seguridad en la que se establece claramente qué tipo de tráfico está permitido, entre 
qué origen y qué destino, qué servicios se habilitan, qué contenidos se admiten, etc. Depen- 
diendo del caso concreto, existirán políticas altamente restrictivas, en las que prácticamente 
nada está permitido, y otras muy permisivas, en las que no se habilitan apenas prohibiciones. 
La clave reside en alcanzar un compromiso entre sus necesidades de seguridad y su co- 


modidad. 
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Servicios ofrecidos por los cortafuegos 


Debido a la gran cantidad de servicios de seguridad ofrecidos por un cortafuegos, durante 
un tiempo se les consideró la panacea de la seguridad, hasta el punto de que se llegó a 
identificar seguridad con cortafuegos. Frases como “Estamos seguros porque tenemos un 
cortafuegos” se convirtieron en tópicos comunes. A lo largo del libro se repite en numerosas 
ocasiones que la seguridad no es un producto. No obstante, lo cierto es que el cortafuegos se 
ha convertido en uno de los productos indispensables de todo sistema de seguridad. Entre 
los muchos servicios que ofrecen, destacan los siguientes: 


D> 


D> 


D> 


D> 


Aislamiento de Internet: La misión de un cortafuegos es aislar su red privada de 
Internet, restringiendo el acceso hacia/desde su red sólo a ciertos servicios, a la vez 
que analiza todo el tráfico que pasa a través de él. Cuando una red de una empresa se 
conecta directamente a Internet, entonces todos los ordenadores pueden acceder a 
direcciones en el exterior y pueden ser igualmente accedidos desde fuera, exponién- 
dose a todo tipo de ataques, especialmente si la conexión es ininterrumpida. Si cual- 
quiera de los ordenadores de la intranet sucumbe ante un atacante, el resto de la red 
local queda amenazada. El cortafuegos actúa de pantalla, permitiendo sólo aquellos 
servicios que se consideren como seguros: por ejemplo, sólo correo electrónico y 
navegación, o cualquier otra elección definida en la política de seguridad, mientras 
que se prohíben los superfluos o los potencialmente peligrosos. 

Cuello de botella: El cortafuegos se constituye en un cuello de botella, que mantiene 
a los atacantes y peligros alejados de la red a proteger, prohíbe en los dos sentidos 
servicios susceptibles a ataques y proporciona protección ante algunos tipos de ata- 
ques basados en el enrutamiento de paquetes. El cortafuegos representa el enfoque de 
seguridad conocido como defensa perimetral (véase Figura 1.10), que debe combi- 
narse con la protección a fondo de cada uno de los equipos de la red, lo que se conoce 
como defensa en profundidad (defense-in-depth). Para más información sobre la de- 
fensa en profundidad consulte la sección “La seguridad en la empresa” del Capítulo 1. 
Detección de intrusos: Dado que todo intento de conexión debe pasar por él, un 
cortafuegos adecuadamente configurado puede alertarle cuando detecta actividades 
sospechosas que pueden corresponder a intentos de penetración en su red, conatos de 
denegación de servicio o tentativas de enviar información desde ella, como los que 
realizarían troyanos que se hubieran colado dentro. Si, careciendo de cortafuegos, 
los intentos de intrusión se realizaran sobre máquinas aisladas de la red, podría 
transcurrir mucho más tiempo antes de que se advirtieran, o incluso llegar a materia- 
lizarse en un ataque con éxito antes de ser descubiertas. Para más información sobre 
la detección de intrusos y prevención de intrusiones, vea el Capítulo 6. 

Auditoría y registro de uso: El cortafuegos constituye un buen lugar donde recopilar 
información sobre el uso de la red. En su calidad de punto único de acceso, el corta- 
fuegos puede registrar toda la actividad entre la red exterior y la interior. Con todos 
estos datos, el administrador puede posteriormente estudiar estadísticamente el tipo 
de tráfico, las horas de mayor carga de trabajo, el ancho de banda consumido y, por 
supuesto, todos los intentos de intrusión o las pistas dejadas por un atacante. Para 
más información sobre registros de auditoría, vea la sección “Registros de auditoría 
de sistemas” del Capítulo 6. 

Seguridad de contenidos: Existen otras amenazas como los virus y el contenido acti- 
vo malicioso, frente a las cuales los mejores cortafuegos ofrecen una protección limi- 
tada. La inspección antivirus del material transmitido a través de servicios como el 
correo electrónico, la Web o FTP es una característica incorporada por un número 
cada vez mayor de cortafuegos. Presenta el problema de consumir muchos recursos, 
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ya que se deben descomprimir o decodificar ciertos ficheros (ZIP, RAR, MIME, 
Uuencode), escanearlos y tomar una decisión antes de retransmitirlos dentro de la 
red. A los virus se une la amenaza de programas en Java, controles ActiveX, guiones 
en JavaScript o en VBScript, que pueden ser potencialmente peligrosos, bien for- 
mando parte del contenido de un mensaje de correo electrónico o de una página Web. 
Algunos cortafuegos bloquean también este tipo de contenido cuando resulta sospe- 
choso. No obstante, el software de antivirus debería instalarse y ejecutarse regular- 
mente en todas las estaciones de trabajo, ya que el cortafuegos no puede ofrecer una 
protección 100% segura ante estos peligros. Para más información, vea la sección 
“Protección contra malware” del Capítulo 5. 

Autenticación: La determinación de la identidad de las personas o entidades que 
acceden a la red protegida, a través de servicios como HTTP, FTP o Telnet, resulta 
crítica en la mayoría de los entornos. Esta autenticación se logra tradicionalmente 
mediante nombres de usuario y contraseñas. Sin embargo, no puede considerarse 
una técnica fiable cuando los requisitos de seguridad son severos. En su lugar, algu- 
nos cortafuegos permiten autenticarse utilizando métodos más sofisticados, basados 
en tarjetas inteligentes, contraseñas de un solo uso, llaves hardware, etc. 
Traducción de direcciones de red (NAT): Otras funciones adicionales que puede rea- 
lizar el cortafuegos es la de ocultar el rango de direccionamientos internos de la 
organización, realizando una traducción de direcciones (Network Address Translation 
o NAT). De esta manera, resulta posible contar con sólo una dirección válida o un 
rango reducido de direcciones válidas en Internet y disponer de un gran número de 
direcciones privadas para las máquinas internas no enrutables desde Internet (véase 
Figura 4.3). Gracias a NAT, las direcciones de las máquinas internas quedan efect1- 
vamente ocultas para el exterior. En la medida en que NAT oculta las direcciones 
utilizadas internamente por los equipos de la red local así como su topología, propor- 
ciona un cierto grado de seguridad hacia el exterior. 

VPN: Los cortafuegos también pueden actuar como servidores de redes privadas 
virtuales. Se tratan en la siguiente sección de este capítulo, por lo que no se dirá aquí 
nada más sobre ellas. 


Debilidades de los cortafuegos 


A pesar de todas sus virtudes y ventajas, los cortafuegos no suponen la solución definitiva a 
todos los problemas de seguridad. Aunque se les suele considerar la primera línea de defen- 
sa, en la práctica sería mucho más ventajoso contemplarlos como la última, es decir, primero 
habría que fortalecer equipos y aplicaciones y no descargar toda la responsabilidad de la 
seguridad en el cortafuegos. Existen amenazas fuera del alcance del cortafuegos, contra las 
cuales deben buscarse otros caminos de protección: 


D> 


Ataques desde el interior: El mayor número de ataques informáticos y de robos de 
información es perpetrado por gente de la propia organización, empleados desleales 
o espías infiltrados. Sería absurdo creer que el cortafuegos le protegerá frente a filtra- 
ciones de información. Resulta mucho más sencillo y práctico copiar la información 
confidencial de interés a un disco USB o en un CD-ROM y salir con él en el bolsillo. 
La filtración de información no tiene por qué ser deliberada: a menudo los usuarios 
más ingenuos sucumben víctimas de ataques de ingeniería social y revelan confiada- 
mente contraseñas de acceso y otros secretos. 

Ataques que no pasan por el cortafuegos: Los accesos vía módem a ordenadores de 
la red no son filtrados por el cortafuegos, por lo que nada puede hacer en estas 
situaciones. Se los conoce como puertas traseras a la red, ya que permiten entrar sin 
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pasar por la puerta principal, esto es, el cortafuegos. Representan una de las formas 
favoritas de intrusión de hackers en redes fuertemente protegidas. La política de 
seguridad debería recoger claramente este punto, ya que se trata en muchos casos de 
un problema de educación del personal. Las conexiones a través de VPN también 
pueden convertirse en fuente de problemas. Si el servidor de VPN no es el propio 
cortafuegos, sino que está detrás, el cortafuegos dejará pasar todo el tráfico que le 
está destinado sin poder examinarlo puesto que viaja cifrado. 
Infección de virus sofisticados: A pesar de la protección antivirus y de contenido 
malicioso que proporcionan algunos cortafuegos, la variedad de plataformas y redes, 
la diversidad de codificaciones de ficheros binarios y la mutabilidad de los virus, 
vuelven esta labor extraordinariamente difícil. Por este motivo, la defensa antivirus 
nunca se debería concentrar exclusivamente en el cortafuegos (defensa perimetral), 
sino que debería extenderse a todas las máquinas de la red (defensa en profundidad), 
que deberán contar con su software antivirus debidamente actualizado. En materia 
de virus, el cortafuegos debe considerarse solamente como una primera línea de de- 
fensa, nunca como la barrera absoluta. Consulte la sección “Protección contra 
malware” del Capítulo 5 para informarse sobre la defensa en profundidad contra los 
virus y el malware. 

Ataques basados en datos: Existen ataques basados en fallos en programas que co- 

rren en los servidores protegidos por el cortafuegos, como servidores de correo, ser- 

vidores Web o servidores de bases de datos. Dado que muchos de ellos se acceden a 

través de protocolos permitidos por el cortafuegos, éste se ve impotente a la hora de 

impedir que se lleven a efecto. Por ejemplo, todos los ataques Web pasan a través del 
cortafuegos, que se limita a filtrar el puerto 80. Para más información sobre el forta- 
lecimiento de aplicaciones Web, consulte la sección “Fortalecimiento de aplicacio- 

nes” del Capítulo 5. 

8 Ataques completamente nuevos: El ingenio de los hackers siempre corre un paso por 
delante de los diseñadores de aplicaciones de protección. Con el tiempo, descubren 
nuevas formas de ataque utilizando servicios considerados seguros o inventando ata- 
ques que no se le habían ocurrido a nadie antes. Aunque los buenos cortafuegos 
protegen de los ataques conocidos y muchos aún por descubrir, no suponen un pasa- 
porte de seguridad total para siempre. 


D> 


D> 


Tecnologías de cortafuegos en Internet 


Los cortafuegos suelen construirse utilizando alguna de las tecnologías siguientes: filtrado 
de paquetes, pasarelas de aplicaciones o la inspección multinivel de estados. Los productos 
más sofisticados y seguros hacen un uso combinado de todas ellas para proporcionar la 
máxima protección frente a todo tipo de ataques. 


Filtrado de paquetes 


Los cortafuegos de filtrado de paquetes básicamente se comportan como dispositivos de 
encaminamiento de paquetes (routers) entre las máquinas internas y las externas, pero de 
forma selectiva, ya que permiten o rechazan ciertos paquetes según los criterios reflejados en 
la política de seguridad de la empresa a proteger, plasmada en el conjunto de reglas de filtrado 
del cortafuegos. Por consiguiente, este tipo de cortafuegos trabaja a nivel de red (véase Figu- 
ra 4.22). El control de acceso se basa en la información contenida en los paquetes de red: 


-Dirección IP de origen del paquete. 
A Dirección IP destino del paquete. 


DD» 


8 
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Figura 4.22. Filtrado de paquetes a nivel de red. 


El tipo de tráfico: TCP, UDP, ICMP, etc. 

Algunas características del nivel de transporte, como el número de puerto de origen 
o de destino. 

Propiedades internas de los paquetes. 


Dado que los servidores para ciertos servicios particulares de Internet residen en puertos 
predeterminados, el cortafuegos puede bloquear o permitir ciertas conexiones sin más que 
especificar el número de puerto apropiado en el conjunto de reglas de filtrado. Igualmente, se 
pueden bloquear todas las conexiones procedentes de sistemas de los que se desconfía, ba- 
sándose en la dirección IP de la máquina que intenta conectarse. 

La mayor parte de cortafuegos para entornos SOHO pertenecen a esta categoría. Estos 
productos, conocidos genéricamente como cortafuegos personales, se describen más adelan- 
te en esta misma sección. Todos los routers de frontera (boundary routers) suelen incorporar 
esta capacidad. Se usan en combinación con otros cortafuegos, de los tipos presentados más 
adelante. 


Puntos fuertes del filtrado de paquetes 


D> 


D> 


Dado que la mayor parte del software de routers ya incorpora la capacidad de filtrado 
de paquetes, resulta muy rápido y económico instalar un control basado en esta solu- 
ción, ya que no se necesitaría comprar software ni hardware adicional. 

Si el número de reglas creadas no es muy elevado, tampoco llega a imponer una 
sobrecarga importante de procesamiento en el router, por lo que el rendimiento de la 
red no se verá afectado. De hecho, este filtrado es extraordinariamente rápido, ya que 
para determinar si un paquete pasa o no pasa no suelen examinar el paquete por 
encima del nivel de red. 

No suelen correr sobre sistemas operativos generales, como Unix o NT, por lo que no 
son vulnerables a ataques contra ellos. De hecho, suelen ser dispositivos dedicados 
con su propio firmware. 

Una ventaja importante es que resultan totalmente transparentes, por lo que el resto 
de equipos de la red no necesitan que se les instale software adicional ni que los 
usuarios tengan que hacer nada especial. 
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Debilidades del filtrado de paquetes 


Definir las reglas de filtrado puede convertirse en una tarea muy complicada, ya que 

existen muchos recovecos en la especificación de los servicios de Internet y de los 

protocolos que, si no se conocen a fondo para su correcta configuración, pueden 
dejar abierta la puerta a ataques variados, como ataques de falsificación de dirección 

IP de origen, ataques de encaminamiento de origen, ataques de fragmentación, etc. 

A Además, cuanto mayor sea el número de reglas, menor será el rendimiento del router, 
que en principio está diseñado únicamente para encaminar paquetes, no para tomar 
decisiones acerca de si “debería” o “no debería” hacerlo. 

A La mayoria de productos de filtrado de paquetes no soportan esquemas avanzados de 
autenticación de usuarios, debido en parte a que no se inspeccionan los paquetes por 
encima del nivel de red. 

A Debido a la limitada información disponible para el cortafuegos, posee una limitada 
capacidad de registro de actividad: dirección de origen, dirección de destino y tipo de 
tráfico, nada más. 

8 Por último, no debe perderse de vista que el filtrado de paquetes, por operar a un 
nivel tan bajo, desconoce el contenido de los paquetes. Aunque puede bloquear un 
servicio, si lo acepta no es capaz de bloquear selectivamente ciertos comandos del 
servicio o rechazar ciertos contenidos, por lo que son susceptibles a ataques basados 
en datos. Este tipo de control debe prestarse a más alto nivel, para lo que existen las 
pasarelas de aplicaciones. 


Noyi El filtrado de paquetes debe realizarse no sólo a la entrada, sino también a la salida. Esta configura- 
ción, a menudo pasada por alto, permite bloquear intentos de conexión hacia fuera por parte de malware. 


Pasarelas proxy de aplicaciones 


La idea básica de un servidor proxy es actuar de pasarela (gateway) entre el cliente y el 
servidor, trabajando a nivel de aplicación. El proxy espera a una petición del cliente y la 
reexpide al servidor, lee la respuesta generada por el servidor y la envía de vuelta al cliente. 
Estos cortafuegos funcionan tanto para retransmitir el tráfico para clientes en el exterior que 
quisieran conectarse con un servidor en el interior de la red protegida, como de clientes 
internos que se conectan a servicios en el exterior de la red protegida. De esta forma, el 
cliente y el servidor no se ven uno a otro cara a cara, sino que solamente ven al proxy, que 
actúa de intermediario entre ambos, de forma más o menos transparente, gestionando toda 
su comunicación y creando la ilusión de que el cliente está hablando con el servidor. El proxy 
puede además evaluar las peticiones del cliente o las respuestas del servidor y decidir cuáles 
acepta o ignora, basándose en la política de seguridad de la organización. Por ejemplo, podría 
prohibir ciertos comandos de FTP, como el “put”, mientras que los más sofisticados pueden 
incluso restringir contenidos, por ejemplo, bloqueando los URL de páginas pornográficas. 

Las pasarelas de nivel de aplicación a menudo se denominan “bastiones”, en cuanto que 
están especialmente protegidas ante ataques, diseñadas con la máxima seguridad posible en 
mente: ejecutan una versión segura del sistema operativo, normalmente tipo Unix; sólo per- 
manecen instalados los servicios que se consideran seguros y absolutamente necesarios; an- 
tes de que los usuarios accedan a los servicios proxy, pueden requerirles autenticación fuerte, 
por ejemplo, basada en tarjetas inteligentes y certificados digitales; no tienen por qué sopor- 
tar todos los comandos y funcionalidades de los servicios que ofrecen, ya que pueden elimi- 
nar los más problemáticos; no suelen realizar accesos a disco una vez que han leído su propia 
configuración; y otras muchas características que los vuelven menos vulnerables que las 
máquinas convencionales. (Véase Figura 4.23.) 
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Figura 4.23. Filtrado a nivel de aplicación. 


En lugar de disponer de un cortafuegos proxy para todas las aplicaciones, se suelen 
utilizar proxies dedicados, especializados en un protocolo determinado, como correo o Web. 
Estos servidores proxy dedicados no poseen capacidades de filtrado de paquetes, por lo que 
deben situarse detrás de un dispositivo tal. Los usos más frecuentes a que se destinan estos 
proxies dentro de una organización son: 


D> 


un D> D> 


Filtrado de contenido activo en páginas Web, como applets de Java, programas en 
JavaScript, controles ActiveX, etc. 

Bloqueo de todos los archivos adjuntos o de algunas extensiones en los mensajes de 
correo electrónico, tanto entrantes como salientes. 

Escaneo y borrado de virus, gusanos y troyanos. 

Bloqueo de contenidos Web: páginas pornográficas, páginas de ocio y entretenimiento, 
etcétera. 

Bloqueo de comandos y contenido específico de las aplicaciones, como los cortafuegos 
de aplicación para servidores Web y de bases de datos, explicados en la sección “For- 
talecimiento de aplicaciones” del Capítulo $5. 


Puntos fuertes de las pasarelas de aplicaciones 


D> 


D> 


Proporcionan al administrador de red un control absoluto sobre los servicios a los 
que los usuarios tienen acceso, ya que sólo pueden utilizar aquellos servicios sopor- 
tados por el proxy, y, dentro de cada servicio, sólo los comandos permitidos. 

Dado que las aplicaciones proxy son componentes software ejecutándose en el bas- 
tión, se trata del lugar ideal para realizar registros de actividad (logging), informes 
de auditoría y controles de acceso. 

Pueden utilizarse como traductores de direcciones de red (NAT), ya que por ellos 
pasa todo el tráfico en uno y otro sentido, por lo cual pueden enmascarar la dirección 
de las máquinas de la red interna. 

Por último, hay que tener en cuenta que la definición de las reglas de filtrado a nivel 
de aplicación es mucho más sencilla que a nivel de paquete, pudiendo implementar 
reglas más conservadoras con mayor flexibilidad. 
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Debilidades de las pasarelas de aplicaciones 


Los más antiguos requieren que el usuario de la red interna instale software de clien- 
te especial para cada servicio proxy al que se conecta, o bien que, utilizando el soft- 
ware de cliente habitual, siga ciertas instrucciones especiales de uso. Nuevas 
aplicaciones de Internet exigían escribir e instalar nuevos servicios proxy en el 
cortafuegos y nuevos clientes proxy en los ordenadores de los usuarios. Actualmente, 
los modernos cortafuegos de nivel de aplicación son completamente transparentes 
para los usuarios finales. 

El hecho de tener una aplicación corriendo entre el usuario y el servidor puede re- 

dundar en degradación del rendimiento, si son muchos los servicios proxy en la 

misma máquina y si las reglas de filtrado son muy complejas. 

8 Desde el punto de vista de la seguridad, los servicios proxy son útiles sólo si se 
utilizan junto con un mecanismo que restrinja las comunicaciones directas entre las 
máquinas de la red interna y las del exterior, como por ejemplo el filtrado de paque- 
tes. De nada sirve un cortafuegos de nivel de aplicación si se puede salir al exterior a 
través de otro punto. 


D> 


Inspección multinivel de estados 


La tecnología de inspección multinivel de estados (Stateful Multi-Layer Inspection o SMLI) 
busca combinar el buen rendimiento del filtrado de paquetes y la elevada seguridad a nivel 
de aplicación de los proxies, por lo que muchos cortafuegos actuales la incorporan. SMLI 
constituye una extensión del filtrado de paquetes, ya que no se limita a examinar los paque- 
tes a nivel de red, sino que los analiza a todos los niveles de la pila de protocolos, extrayendo 
la información relevante sobre el estado de la comunicación y de la aplicación. Para cada 
conexión TCP o UDP, el cortafuegos crea una tabla con las direcciones IP de origen y desti- 
no, números de puertos, números de secuencia de los paquetes y otros datos adicionales 
asociados a la conexión en particular. 

Gracias a su motor de inspección y la información de estado de la conexión almacenada 
en las tablas, el cortafuegos puede implantar las políticas de seguridad definidas por la orga- 
nización, con una mayor conciencia sobre la aplicación que se está ejecutando que la poseída 
por los filtros de paquetes. Así se asegura que los paquetes que no estén asociados a una 
conexión no pasarán a través del cortafuegos. (Véase Figura 4.24.) 


Puntos fuertes de la inspección multinivel de estados 


El cortafuegos es transparente para las aplicaciones y usuarios, quienes no necesitan 
modificar o instalar software adicional. El motor de inspección puede adaptarse a 
protocolos y aplicaciones nuevamente definidos. Esta característica facilita la escalabi- 
lidad. 

8 Dado que operan principalmente en los niveles bajos de la pila de protocolos, concre- 
tamente hasta el nivel de transporte, son más rápidos que las aplicaciones proxy, por 
lo que el rendimiento de la red no se ve notablemente afectado, aunque aumente el 
número de usuarios conectados a través del cortafuegos. 


Debilidades de la inspección multinivel de estados 


En la medida en que en las implantaciones reales el filtrado no inspecciona datos de 
nivel de aplicación, aunque teóricamente sería posible, SMLI no es capaz de evitar 
los ataques más sofisticados enmascarados a nivel de aplicación, como desborda- 
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Figura 4.24. Inspección de paquetes a todos los niveles. 


mientos de búfer o comandos de aplicación ilegales o inseguros, como inyección de 
SQL, Cross-Site Scripting (XSS), etc. Estos tipos de ataque contra las aplicaciones 
se tratan en la sección “Fortalecimiento de aplicaciones” del Capítulo 5. 

S A pesar de la propaganda con la que se anuncian, la mayoría de expertos en seguri- 
dad convienen en aceptar que los cortafuegos basados en pasarelas de aplicación son 
más seguros que los sistemas basados en filtrado de paquetes, incluso que SMLI. 


Cortafuegos personales: solución para el particular 


La función de un cortafuegos personal consiste en proteger su ordenador frente a ataques 
procedentes desde el exterior, esto es, desde Internet, e incluso desde el interior, desde su 
propio equipo o red interna, cuando se producen intentos no deseados de conexión hacia el 
exterior, por ejemplo por parte de troyanos, spyware, puertas traseras u otros programas que 
tratan de filtrar información. Cuanto más tiempo pasa un cliente conectado a Internet, mayor 
será el número de ataques que sufra y el riesgo de intrusión. Las conexiones permanentes de 
banda ancha con una dirección IP fija gracias al servicio ADSL y cable vienen a agravar este 
problema. 

Hasta hace bien poco, todos los productos comerciales de cortafuegos quedaban restringi- 
dos para su uso empresarial, debido a su elevado precio, su dificultad de configuración y la 
exigencia de conocimientos especializados para operarlos. Sin embargo, a medida que crece 
el número de usuarios domésticos y pequeñas empresas conectados a Internet las 24 horas 
del día, están saliendo a la luz nuevos productos de cortafuegos personales, con grandes 
prestaciones y seguridad notable, como los mostrados en la Tabla 4.11. 


El cortafuegos de Windows XP 


Hasta la llegada de Windows XP, si un usuario quería sentirse seguro mientras permanecía 
conectado a Internet, se veía obligado a instalar y configurar un cortafuegos personal de 
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Tabla 4.11. Comparación entre los distintos cortafuegos personales gratuitos. 


Verificación 
Filtrado Filtrado de integridad Notificación 
Nombre Configuración de entrada de salida de aplicac. al usuario URL 
Cortafuegos Sencilla Básico Ninguno Ninguno Ninguna www.microsoft.com 
de XP 
ZoneAlarm Sencilla Sólido Limitado Sólido Avisos 
detallados www.zonelabs.com 
Outpost Sencilla Sólido Sólido Ninguno Clara www.outpost-es.com 
Firewall y concisa 
Free 
Kerio Avanzada Sólido Sólido Sólido Clara www.kerio.com 
Personal y concisa 
Firewall 4 


terceros. Ahora ya no es enteramente necesario, ya que Windows XP viene con su propio 
cortafuegos personal, eso sí, muy rudimentario. Para configurar el cortafuegos de Windows 
XP en su equipo: 


1. 


Seleccione Inicio>Mis sitios de red y en la ventana Mis sitios de red, en el panel de 
la izquierda seleccione Ver conexiones de red. Un atajo consiste en hacer clic con el 
botón secundario del ratón sobre el icono Mis sitios de red del escritorio y seleccio- 
nar Propiedades. 

Haga clic con el botón secundario del ratón sobre la conexión de red que desee pro- 
teger con el cortafuegos, como por ejemplo Conexión de área local, y seleccione 
Propiedades en el menú contextual 

Seleccione la pestaña Avanzadas. Ahí es donde se configura el cortafuegos personal, 
que Microsoft ha traducido muy desafortunadamente como “Servidor de seguridad 
de conexión a Internet”. 

Para que el cortafuegos se encuentre en funcionamiento debe verificar la casilla Pro- 
teger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet. 
Una vez activado, puede configurarlo pulsando el botón Configuración. 

Ahora debe decidir qué servicios permanecerán visibles para Internet y cuáles se 
volverán invisibles. Por defecto, está deshabilitado el acceso desde el exterior a todos 
los servicios de su equipo, lo que significa que a todos los efectos su ordenador apa- 
rece como si fuera invisible: se comporta como un agujero negro en el cual se pierden 
sin respuesta todos los intentos de conexión, sin importar el puerto o el protocolo que 
utilicen (TCP, UDP, ICMP). Como consecuencia, un atacante que sondee su direc- 
ción IP llegará a la conclusión de que no existe ningún equipo que corresponda a esa 
dirección o que está apagado o desconectado de Internet. 

Ahora bien, si desea ofrecer algún servicio al exterior, como ftp, Web o correo, nece- 
sitará habilitar esos puertos. Simplemente, verifique las casillas correspondientes a 
los servicios que quiere seguir prestando desde su equipo. Si el servicio no aparece 
listado, por ejemplo, para abrir el puerto de eDonkey (4661 ), pulse Agregar y rellene 
los datos del servicio que desea permitir. (Véase Figura 4.25.) 

Una vez configurados los servicios que se prestarán y los que se ocultarán, seleccione 
la pestaña Registro de seguridad y en ella verifique la casilla Registro de paquetes 
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Configuración avanzada 


Servicios | Registro de seguridad | ICMP 


Seleccione los servicios que se están ejecutando en su red y a los 

que los usuarios de Internet puedan tener acceso. 

Servicios: " q. a 
Ml Escritorio remoto A 
O Internet Mail 4ccess Protocol Versión 3 (IMA4P3) 
O Internet Mail 4ccess Protocol Versión 4 (IM4P4] 
O Internet Mail Server [SMTP] 

Ol Post-Office Protocol Versión 3 [POP3) Nombre o dirección IP (por ejemplo 192.168.012) del 
O Servidor de FTP equipo que sirve de host a este servicio en su red: 

O Servidor Telnet PI NNN 192.168.0.2 

Servidor web [HTTP) 

O Servidor web segab (HTTPS) 


Descripción del servicio: 
eDonkey 2000 


Número de puerto externo para este servicio: 


4661 GQICP  OUDP 
Número de puerto interno para este servicio: 
4661 





Figura 4.25. Se pueden agregar nuevos servicios que no aparecen en la lista 
predeterminada del cortafuegos de XP. 


perdidos. De esta forma, todos los intentos de conexión fallidos quedarán registra- 
dos en el archivo que indique en el campo Nombre, que por defecto toma el valor 
CAWindowspfirewall.log. Si revisa este archivo frecuentemente se asombrará del 
elevado número de ataques que sufre cada día, que gracias al cortafuegos no habrán 
llegado hasta su equipo. Si detecta la presencia repetida de una misma dirección IP 
de origen podría emprender algún tipo de respuesta, ya que significa que está siendo 
objeto de un ataque deliberado contra usted. El resto de ataques se deben normal- 
mente a escaneos rutinarios de herramientas automatizadas para buscar agujeros de 
seguridad y puertas de entrada a su sistema. Estos escaneos pueden ser lanzados por 
hackers o automáticamente por virus y gusanos. 

8. En la tercera pestaña, ICMP, puede controlar a qué tipo de paquetes ICMP responde- 
rá su equipo. Si por motivos de pruebas de funcionamiento o alguna otra buena razón 
desea que su equipo responda a los ping, entonces verifique la casilla Permitir soli- 
citud de eco entrante. En caso contrario, opte mejor por el silencio, que es la opción 
predeterminada. 


El cortafuegos de XP presenta el importante inconveniente de filtrar solamente las co- 
nexiones entrantes, pero no las salientes. Por este motivo, no podrá evitar la filtración de 
información hacia el exterior (information leakage) por parte de programas espía, caballos 
de Troya o similares. Otros cortafuegos como Kerio Personal Firewall 4, ZoneAlarm u Outpost 
pueden suplir ésta y otras deficiencias del cortafuegos de serie de XP. 


Ejemplos de cortafuegos personales gratuitos 


En la actualidad, los cortafuegos personales gratuitos de uso más extendido en los entornos 
SOHO son ZoneAlarm, Outpost y Kerio, que pasan a describirse sucintamente a continuación. 
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ZoneAlarm 


ZoneAlarm es un cortafuegos personal orientado especialmente al usuario doméstico sin 
demasiados conocimientos de seguridad ni de redes. Su interfaz de configuración es extre- 
madamente sencillo y no requiere demasiada experiencia por parte del usuario para su co- 
rrecta configuración. Tiene dos modos básicos de operación: cortafuegos, en el cual bloquea 
puertos de entrada y salida; y control de programas, en el cual bloquea aquellos programas a los 
que no se les haya concedido aún permiso de acceso a Internet. Este modo de operación es el 
más útil a la hora de detectar la actividad de programas espía y troyanos. (Véase Figura 4.26.) 


Outpost 


Outpost es un cortafuegos personal muy completo, orientado a un público más profesional o 
con más conocimientos. Funciona igualmente bloqueando puertos de entrada y salida, así 
como programas. Incorpora además una serie de plug-in para bloquear publicidad, conten1- 
do de páginas Web, cookies, contenido activo (controles ActiveX, JavaScript, applets de 
Java, etc.), detección de ataques y más. (Véase Figura 4.27.) 


Kerio Personal Firewall 4 


Kerio Personal Firewall 4, aunque recién llegado a este mercado, está pisando con fuerza. 
Sus reglas pueden configurarse manualmente o descargarse ya preconfiguradas. Una intere- 
sante característica es su capacidad de monitorizar la integridad de aplicaciones y archivos, 
lo que permite detectar infecciones de virus. También incorpora capacidades de detección de 
intrusos (IDS). (Véase Figura 4.28.) 
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Figura 4.26. ZoneAlarm es el cortafuegos con más solera del mercado y además gratuito 
en su versión básica. 
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Figura 4.27. Outpost es un excelente cortafuegos personal. 
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Figura 4.28. Kerio Personal Firewall 4 es un recién llegado, pero muy competitivo. 
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Cortafuegos dedicado: solución para la empresa 


No hay que perder de vista que los cortafuegos personales son muy útiles dentro del entorno 
doméstico, pero fuera de dicho ámbito no se adecuan al entorno empresarial, ya que su única 
opción de uso es para la protección de puestos de trabajo individuales. En el mundo empresa- 
rial se utilizan tan sólo los cortafuegos personales para proteger los puestos de trabajo, utilizán- 
dose cortafuegos dedicados para la protección de redes. Los cortafuegos de red son preferidos 
por su mayor potencia, versatilidad y seguridad, aunque presentan como contrapartida un coste 
mucho más elevado de adquisición y mantenimiento que el de un cortafuegos personal. 

Los cortafuegos de red suelen instalarse en máquinas con múltiples interfaces de red, de 
esta manera interconectan varias subredes protegiendo el tráfico que fluye entre ellas. El 
sistema se configura con reglas por el administrador y mediante esta política se comprueba 
qué paquetes de información pueden atravesar sus interfaces. Por su versatilidad permiten 
múltiples arquitecturas de red y amplían su utilización básica, a saber, protección de Internet, 
a protección de redes internas, redes de backup de datos, redes de centros de proceso de datos 
(CPD), maquetas, etc. 


La plataforma 


Desde el punto de vista de la plataforma de explotación, los sistemas utilizados dentro del 
mundo empresarial son de dos tipos: cortafuegos appliance o cortafuegos software sobre un 
sistema operativo de propósito general. 


Cortafuegos appliance: Se trata de hardware dedicado con un sistema preconfigurado 
para actuar como cortafuegos. Su utilización está ampliamente extendida dentro de 
las grandes empresas. Como principal ventaja ofrecen mínimas necesidades de man- 
tenimiento y sencillez de uso e instalación. El sistema suele incorporar lo mínimo 
necesario para funcionar y viene configurado de manera segura de fábrica, con lo 
que dedicando un tiempo mínimo se tendrá una plataforma robusta y segura, mien- 
tras que un cortafuegos sobre un sistema operativo tradicional exige previamente la 
tarea adicional de bastionado. 

8 Cortafuegos software: De manera similar a los cortafuegos personales, se instalan 
sobre un sistema operativo estándar, Windows 2000/2003 o UNIX. La máquina don- 
de están instalados suele ser siempre dedicada, presentando como principal ventaja 
respecto a las appliances la versatilidad en hardware disponible y administración. 
Los administradores de este tipo de sistemas pueden ser los mismos que los que 
operan otras máquinas, ya que el sistema operativo es realmente el mismo. Además 
se debe contar con un administrador de seguridad que se encargue de la creación, 
modificación y borrado de las reglas oportunas. 


La arquitectura 


La arquitectura de los cortafuegos empresariales se presenta como la principal ventaja sobre 
los cortafuegos personales, ya que mediante un único cortafuegos se pueden proteger múlti- 
ples sistemas. 

Los cortafuegos son utilizados para: 


Protección de redes internas/externas: La principal función de los cortafuegos dentro 
del marco empresarial sigue siendo proteger los sistemas internos de los accesos a o 
desde las redes externas. El concepto de DMZ, red desmilitarizada, se utiliza para 
ubicar todos los sistemas que deben ser accedidos desde el exterior, a modo de red de 
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salto al exterior, preservando así la seguridad de los sistemas internos. Las redes 
DMZ pueden ser múltiples en función de la seguridad requerida para las plataformas 
alojadas en ellas, o dicho de otro modo, se pueden crear tantas como se deseen y 
ubicar sobre las mismas los sistemas con un nivel de seguridad similar. Tradicional- 
mente el concepto de DMZ básico ha sido utilizado para ubicar servidores HTTP, 
FTP, SMTP o DNS, los cuales son ofrecidos en Internet a todos los usuarios y sobre 
los cuales normalmente se realiza un filtrado por IP/puerto destino. Un montaje sen- 
cillo implica la creación de una única DMZ sobre un cortafuegos con tres interfaces: 
exterior, interior y DMZ. En el exterior se ubican las conexiones con sistemas o 
pasarelas que dan acceso a redes externas mientras que en el interfaz interno se ubica 
la conexión con la intranet de la compañía. Los sistemas que son ofrecidos al exterior 
se ubican normalmente en la DMZ. (Véase Figura 4.29.) Un montaje más sofisticado 
conllevaría la segregación mediante diferentes cortafuegos por cada tipo o tipos de 
acceso, segmentando cada uno en múltiples DMZ según el servicio ofrecido. Así, por 
ejemplo, se pueden tener varios cortafuegos para acceso a la intranet, centro de pro- 
ceso de datos o centro de desarrollo y a su vez cada cortafuegos con servicios HTTP 
o Webs presenciales, servidores de aplicaciones, servicios de autenticación, etcétera. 
Esta configuración de redes DMZ se ilustra en la Figura 4.30. 

A Protección de redes internas de funciones distintas: La distinción entre redes de pro- 
ducción, desarrollo, usuarios o maquetas suele existir conceptualmente en las em- 
presas aunque no suele estar presente desde el punto de vista físico. Los cortafuegos 
pueden ayudar a realizar una correcta segmentación de las distintas redes internas de 
una compañía. 

A Cortafuegos departamentales: Los cortafuegos pueden plasmar la división de la or- 
ganización dentro del marco de la red, creándose segmentos en función de los cargos 
o departamentos existentes. 

8 Protección de redes con diferentes tráficos: Redes de datos, backup, gestión o admi- 
nistración suelen ser dedicadas en las grandes empresas. Un uso racional de cortafuegos 
para su interconexión puede maximizar la seguridad de las mismas en caso de nece- 
sidad de interconexión. 


Desde el punto de vista empresarial, hay que prestar atención especial a la disponibili- 
dad de los cortafuegos, dado que su configuración se presenta como un punto único de fallo. 
La instalación por ejemplo como punto de control de entrada del tráfico desde el exterior 
hace pensar que ante la caída del sistema todas las comunicaciones se verán afectadas, por 
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DMZ - Zona Desmilitarizada 


Red Interna 


Figura 4.29. Red DMZ simple con un cortafuegos y tres patas (service leg DMZ). 
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Figura 4.30. Red DMZ avanzada con varios cortafuegos. 


ello su disponibilidad se presenta como un hito clave. Los cortafuegos empresariales pre- 
sentan un tiempo medio entre fallos alto y pueden dotarse de elementos para maximizar su 
disponibilidad: discos en RAID, doble ventilador, fuente de alimentación redundada, ele- 
mentos intercambiables en caliente, etc. Si aún esto no fuera suficiente pueden duplicarse 
utilizando dos modos de configuración: 


Hot stand-by: En este tipo de configuración se ubican dos elementos, uno en modo 
activo y el otro en modo pasivo. Ante una caída del primero, el segundo se levanta 
automáticamente recibiendo la carga del primero. 

8  Equilibrado de carga (load balancing): Este tipo de configuración se vale de la ubi- 
cación de dos o más elementos funcionando con el mismo objetivo, pero dividiéndo- 
se el trabajo, pues cada uno procesa una parte del tráfico. Ante la caída de un elemento, 
los demás deben absorber la carga, por lo que su dimensionamiento debe estar en 
consonancia con los tiempos de servicio y los supuestos de caída planteados. 


Otro sistema menos eficiente pero ampliamente utilizado consiste en adquirir un segun- 
do elemento y alojarlo en el almacén o acordar con el fabricante una reposición en un tiempo 
razonable, de menos de 24 horas. Se trata de una manera económica de ahorrarse el tener 
que adquirir elementos por duplicado, para evitar que la seguridad se vea afectada durante 
largos períodos de tiempo. 


Ejemplos de cortafuegos empresariales 


Existen multitud de cortafuegos empresariales, divididos principalmente en dos grandes 
grupos en cuanto al segmento al que van dedicados: empresarial y SOHO. 
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Dentro del segmento SOHO existen multitud de cortafuegos de muy diversos fabrican- 
tes. Al mismo tiempo que los fabricantes de cortafuegos empresariales ofrecen una gama 
baja para SOHO, de manera similar los fabricantes de cortafuegos personales ofrecen una 
gama alta para este mismo segmento. En definitiva, este tipo de cortafuegos se presenta 
desde el punto de vista comercial en medio de la oferta económica con precios que oscilan 
desde los 500 € hasta los 6.000 €. Los ejemplos más destacables de este tipo de cortafuegos 
son: 


Symantec Firewall/VPN Appliance y Symantec Velociraptor 1100 / 1310. 
Watchguard Firebox SOHO. 

Cisco PIX 500 series. 

Nokia Firewall/VPN Appliance (IP 120, IP51 e IP71). 

Netscreen 5XT. 

Checkpoint Safe(vOffice Appliances. 


M DDYDD : 


El mercado empresarial (enterprise) aglutina a los principales fabricantes de cortafuegos 
ofreciendo soluciones que tienen un coste superior a 6.000 € aproximadamente. Como prin- 
cipales ventajas sobre los del segmento SOHO, ofrecen potencia y flexibilidad. En múltiples 
ocasiones se trata del mismo producto con la única diferencia de estar instalado en platafor- 
mas con unas prestaciones superiores y mayores posibilidades de expansión. Los ejemplos 
más destacados son: 


CheckPoint Firewall-1. 

Cisco IOS Firewall y Cisco PIX. 

Symantec Enterprise Firewall. 

eTrust Firewall. 

NetScreen Firewall. 

StoneGate. 

Microsoft Internet Security & Acceleration (ISA) Server. 


a D D D D D 


En la actualidad cabe prestar atención al software recientemente sacado al mercado por 
Microsoft, ISA Server, mediante el cual puede realizarse tanto filtrado de cortafuegos por IP/ 
Puerto como por contenido del campo de datos. ISA Server brinda adicionalmente la posibi- 
lidad de actuar como un proxy para poder realizar todas las peticiones de los usuarios así 
como realizar el cacheo de contenidos para evitar descargas innecesarias. También ofrece la 
posibilidad de actuar como servidor de VPN. Si bien ISA Server en la actualidad no se 
presenta como un rival a la altura de Firewall-1 o Cisco PIX, a buen seguro Microsoft sabrá 
recortar ventajas y podrá posicionarlo en un futuro como uno de los referentes en el mercado. 

Si está familiarizado con el mundo Unix, otra posibilidad es decantarse por IPChains o 
su nueva versión denominada IPTables. Dado que en los sistemas Linux se ofrece gratuita- 
mente este cortafuegos, se trata de una opción válida a plantearse. Si bien este software 
carece de un sistema sencillo para la introducción de reglas, es tremendamente flexible y 
potente. Adicionalmente, poco a poco van apareciendo compañías o proyectos que pretenden 
dotar de un interfaz gráfico a la solución IPChains/IPTables dentro del mundo Linux, entre 
los que cabe destacar en la actualidad el proyecto Firewall Builder. 

A continuación se detallan las funcionalidades básicas de los dos cortafuegos más exten- 
didos: Checkpoint Firewall-1 y Cisco PIX. 


Check Point Firewall-1 


Check Point Firewall-1 puede presumir de ser uno de los líderes del mercado en la actuali- 
dad, gracias principalmente a su facilidad de uso mediante su consola gráfica. Check Point 
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es una compañía israelí que fabrica únicamente productos de seguridad informática, entre 
los que destacan cortafuegos y terminadores de túneles (VPN). 

El producto Firewall-1 presenta como principales funcionalidades la posibilidad de esta- 
blecer reglas de cortafuegos a nivel 3/4, control de estados, traslación de direcciones, regis- 
tro de logs, control de protocolos a nivel 7, autenticación y protección ante ataques tipo DoS. 
Como principales ventajas frente a sus competidores posee una interfaz gráfica totalmente 
integrada, desde la cual se pueden realizar las funciones anteriormente descritas, junto con 
las extendidas de productos de la misma compañía que permiten definir redes privadas 
virtuales, gestión del ancho de banda o control de direcciones en entornos con asignación 
dinámica. 

Desde el punto de vista de la instalación, el producto está disponible en versión appliance 
por numerosos fabricantes, como Nokia, Check Point, CrossBeam, etc., o en versión soft- 
ware instalable sobre un sistema operativo de propósito general, como Windows NT/2000, 
Linux o Solaris. 

Para la instalación existen tres componentes claramente diferenciados: 


Modulo de cortafuegos: A instalar sobre el dispositivo que controlará el flujo de datos. 

A Consola central: Sobre la que el cortafuegos comunicará los registros de log y desde la 
que se enviarán las políticas de seguridad sobre los módulos de cortafuegos instalados. 

S Interfaz gráfica: Desde la que el usuario aprovisionará las reglas sobre las consolas 
para realizar el despliegue a los módulos correspondientes. 


En definitiva, mediante una consola se pueden controlar varios módulos de cortafuegos. 
A su vez existen también productos para gestionar desde un único interfaz gráfico múltiples 
consolas, con lo que un operador puede gestionar fácilmente una arquitectura compleja. 

Como detalles adicionales cabe destacar la perfecta intercomunicación con otros siste- 
mas de seguridad, dado que cumple el estándar OPSEC, soporte de configuraciones en ba- 
lanceo de carga o activo/pasivo y existencia de clientes Cortafuegos/VPN que obligan al 
puesto de trabajo a autenticarse y tener diversos parámetros de bastionado para poder reali- 
zar una comunicación, ya sea por reglas de cortafuegos o mediante el establecimiento de una 
VPN. Una de las funciones más extendidas de OPSEC es la de CVP (Content Vectoring 
Protocol) mediante la cual es posible desviar el tráfico de un Firewall-1 a otros servidores 
para la gestión de tráfico bajo otras funciones como antivirus, filtrado de direcciones Web, 
antispam, etc. 


Cisco PIX 


Cisco, el mayor fabricante de equipos de red del mundo, posee dos principales líneas de 
productos de cortafuegos: módulos de cortafuegos y PIX. El primer componente se activa 
dentro del software IOS de Cisco, mientras que el segundo es un equipo hardware del cual 
hay versiones desde la gama más baja para el mercado de SOHO, hasta el modelo para la 
gran empresa (véase Tabla 4.12). El cortafuegos PIX permite el control en base a direccio- 
nes, puertos, flags TCP y números de secuencia. Puede realizar adicionalmente filtrado de 
elementos de la capa de aplicación como direcciones HTTP o contenidos Java. Desde el 
punto de vista de disponibilidad, puede configurarse tanto en modo failover como en modo 
de balanceo. 

S1 se compara con las versiones de Firewall-1, cabe destacar su rendimiento y posibilidad 
de escalado, pero presenta una consola de administración que dista mucho de la simplicidad 
proporcionada por CheckPoint. 

Cisco PIX presenta al igual que Firewall-1 una total integración entre cortafuegos, NAT 
y VPN, pudiéndose realizar todo desde un único elemento. 
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Tabla 4.12. Modelos Cisco PIX serie 500 disponibles. 


Modelo Uso 
Cisco PIX 535 Grandes empresas con necesidades de altas prestaciones. 
Cisco PIX 525 Grandes empresas o proveedores de telecomunicaciones. 


Cisco PIX 515E Empresas medianas. 
Cisco PIX 506E Oficinas remotas. 
Cisco PIX 501 Pequeñas empresas y uso doméstico. 


Redes privadas virtuales 


Imagine que desea conectarse desde su casa a través de Internet a servicios ofrecidos por 
ordenadores dentro de su red interna. Por ejemplo, podría querer iniciar una sesión de escri- 
torio remoto, servicio ofrecido en el puerto 3389. O podría querer conectarse a su servidor de 
base de datos SQL Server, que permanece a la escucha en el puerto 1433. Una primera 
opción sería abrir dichos puertos en el cortafuegos perimetral. La contrapartida es que esos 
puertos estarían disponibles para cualquier persona en Internet. Un escáner de puertos po- 
dría descubrir que esos servicios se están prestando. Siempre que esos servicios los piense 
prestar a un número reducido de usuarios, una solución mucho más segura consiste en utili- 
zar redes privadas virtuales. 

Una red privada virtual (Virtual Private Network o VPN) es un túnel o canal seguro a 
través de Internet u otras redes públicas. El contenido de la conexión a través de Internet se 
cifra, de manera que sus datos quedan inaccesibles para el público, pero no para la red 
privada a la que se conecta. Las VPN se suelen utilizar para conectar dos redes locales a 
través de una red insegura como Internet. Gracias a la VPN, el ordenador remoto se conecta 
a la otra LAN como si estuviera directamente conecta a ella en local. 

La instalación de una VPN requiere hardware especial o software que se ejecute en servi- 
dores y puestos de trabajo. En esta sección se tratarán en primer lugar las capacidades de 
VPN incorporadas por defecto a Windows XP/2000/2003, apropiadas para usuarios particu- 
lares o pequeñas empresas, y posteriormente las soluciones hardware más indicadas para 
grandes empresas. 


Redes privadas virtuales para el particular 


Para la creación de redes privadas virtuales, Windows XP/2000/2003 utilizan el Protocolo de 
Túnel Punto a Punto (Point-to-Point Tunneling Protocol o PPTP) o el Protocolo de Túnel 
de Nivel Dos (Layer Two Tunneling Protocol o L2TP), instalados automáticamente en el 
equipo junto con el sistema operativo. Mediante cualquiera de estos protocolos el cliente 
tiene acceso de forma segura a los recursos de una red privada al conectarse con un servidor 
de acceso remoto a través de Internet u otra red pública insegura. 


Configuración del servidor 


El primer paso en la creación de una VPN consiste en configurar un equipo cualquiera de la 
red (o el único equipo, si sólo hay uno) como servidor de acceso remoto. Los clientes se 
conectarán a través de Internet y se identificarán ante él. En función de las directivas de 
seguridad habilitadas, el servidor autenticará a los clientes remotos y les permitirá acceder a 
los recursos de la red privada. 
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Para crear una conexión de red privada virtual a su equipo: 


1. 


9. 


Haga clic con el botón secundario del ratón sobre el icono Mis sitios de red del 
escritorio y seleccione Propiedades. 

En el panel de la izquierda, bajo Tareas de red, haga clic en Crear una conexión 
nueva. Verá que arranca el asistente para conexión nueva. Pulse Siguiente. 
Seleccione Configurar una conexión avanzada y pulse Siguiente. 

En la siguiente pantalla, seleccione Aceptar conexiones entrantes y pulse Siguiente. 
Asumiendo que su equipo tiene conexión directa a Internet, por ejemplo porque uti- 
liza ADSL, en la siguiente pantalla, no seleccione nada y pulse Siguiente. 

A continuación, se le explica que para habilitar una conexión VPN a su equipo nece- 
sita una conexión directa a Internet. También se le avisa de que si permite conexio- 
nes VPN se modificará la configuración de su cortafuegos. No se preocupe, que todo 
sucede de forma correcta, así que seleccione Permitir conexiones virtuales priva- 
das y pulse Siguiente. 

En la siguiente pantalla verifique las casillas correspondientes a los usuarios del 
equipo a los que va a autorizar conectarse a través de la red privada virtual. Pulse 
Siguiente. 

En la siguiente pantalla, haga doble clic sobre Protocolo Internet (TCP/IP). Se abre 
la ventana mostrada en la Figura 4.31. Escriba el rango de direcciones IP dentro de 
su red interna que serán asignadas a las conexiones entrantes y verifique la casilla 
Permitir al equipo que llama especificar su propia dirección IP. Dependiendo del 
número de conexiones simultáneas que espere, configure adecuadamente este valor. 
Pulse Aceptar y Siguiente. 

Para terminar pulse Finalizar. 


Verá que en la ventana Conexiones de red se acaba de crear una nueva conexión, llamada 
Conexiones entrantes. Si tenía activado el cortafuegos personal de XP, comprobará cómo el 
asistente de nuevas conexiones se ha encargado de abrir de forma automática los puertos co- 
rrespondientes al protocolo PPTP en el equipo anfitrión. Asimismo, en el router y/o cortafuegos 
deberá abrir el puerto TCP 1723 (PPTP) y activar el protocolo GRE. Sin este último paso, 
ningún equipo externo a su red privada podrá conectarse a su equipo a través de Internet. 


Propiedades TCP#IP_de entrada 


Acceso a la red 


Asignación de direcciones TCP/IP 
O) Asignar automáticamente direcciones TCP+IP usando DHCP 


©) Especificar direcciones TCP/IP 
De: 192 . 168 . 


Para: 192 . 168 . 


Total: 6 


Permitir al equipo que llama especificar su propia dirección IP 





Figura 4.31. Configuración del servidor de VPN en Windows XP. 
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Configuración del cliente 


Para acceder a este equipo y a la red privada que protege desde cualquier otro equipo a 
través de la VPN, en el equipo remoto deberá crear también una conexión nueva: 


1. En el equipo remoto, el que va a actuar como cliente, haga clic con el botón secunda- 
rio del ratón sobre el icono Mis sitios de red del escritorio y seleccione Propiedades. 

2. En el panel de la izquierda, bajo Tareas de red, haga clic en Crear una conexión 

nueva. Verá que arranca el asistente para conexión nueva. Pulse Siguiente. 

Seleccione Conectarse a la red de mi lugar de trabajo y pulse Siguiente. 

Seleccione Conexión de red privada virtual y pulse Siguiente. 

Escriba un nombre cualquiera que identifique la conexión que va a crear y pulse 

Siguiente. 

6. A continuación, escriba la dirección IP pública del equipo al que se va a conectar y 
pulse Siguiente. 

7. Esta dirección IP debe corresponderse con la del equipo que configuró anteriormente 
como servidor de acceso. De ahí que debiera tener una dirección visible en Internet. 
Pulse Siguiente. 

8. Si desea agregar un acceso directo al escritorio para esta conexión, verifique la casi- 
lla correspondiente. Pulse el botón Finalizar y se habrá creado la nueva conexión. 

9. Ya sólo queda hacer unos últimos ajustes y estará lista. Abra la ventana de propieda- 
des de la conexión recién creada y seleccione la pestaña Seguridad. Asegúrese de 
que la casilla Requerir cifrado de datos (desconectar si no hay) esté verificada. 

10. En la ficha Funciones de red, en el cuadro de lista Tipo de red privada virtual 
(VPN), seleccione la opción Red privada virtual (VPN) con protocolo de túnel 
punto a punto. En la misma ficha, haga doble clic sobre Protocolo Internet (TCP/ 
IP) y asígnese una dirección IP dentro del rango que creó al configurar el equipo 
anfitrión. Pulse Aceptar. 


ARAR 


A partir de este momento, puede conectarse desde el equipo remoto que acaba de configu- 
rar a su red privada, con la seguridad de que toda la información viaja cifrada. Además, su 
equipo tendrá el mismo nivel de acceso que si estuviera físicamente conectado a su red local. 
En lugar de abrir tantos puertos como servicios desea prestar, sólo ha abierto el puerto PPTP 
(1723) y como ventaja adicional ahora las comunicaciones se encuentran cifradas. (Véase 
Figura 4.32.) 

Para servicios que utilicen protocolos no cifrados, como pueden ser Telnet, SMTP, FTP, 
etcétera y no puedan utilizarse su equivalentes seguros está disponible de manera gratuita 
una herramienta que posibilita la encapsulación puerto a puerto bajo SSL de cualquier comu- 
nicación TCP/IP, denominada stunnel. Esta herramienta ya fue tratada en profundidad en la 
sección “Confidencialidad en el transporte de datos” del Capítulo 3. 


Redes privadas virtuales para el entorno empresarial 


Desde el punto de vista empresarial, una red privada virtual puede utilizarse para definir una 
red o conjunto de redes lógicas sobre una red física. Las redes lógicas presentarán una dife- 
renciación a nivel de red y aparentarán ser redes distintas. Desde el punto de vista de origen 
y destino de la comunicación se pueden distinguir varios tipos de redes privadas virtuales: 


Sitio a sitio (site-to-site): Se trata de una red privada virtual entre dos redes. De 
manera transparente, todos los equipos de una ubicación pueden comunicarse con 
otros distantes realizándose toda la transmisión de información entre los dos centros 
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* Propiedades de CISP 


General | Opciones: Seguridad | Funciones de ted | Opciones avanzadas 


Opciones de seguridad 


Yalidar mi identidad como sigue: 


Reqguenr una contraseña segura 


|] Usar automáticamente mi nombre de inicio y 
contraseña de Windows [y dominio si esiste] 


Reguerr cifrado de datos [desconectar si no hay] 


7 a I E 
O Avanzada [configuración personalizada] 





Figura 4.32. Para asegurar la confidencialidad, debe activarse el cifrado de los datos. 


por una red privada virtual. Para ello se configuran dos equipos terminadores en 
cada extremo, por ejemplo, equipo A y equipo B. Se establece una red privada virtual 
entre ellos, teniendo que encaminarse toda la información destinada a la ubicación 
destino B dentro del punto de origen sobre el terminador de túneles de la ubicación 
A, por lo que entonces de manera transparente el terminador A mandará la informa- 
ción tunelizada a B, que se encargará de remitírsela al destino, recoger la contesta- 
ción y enviársela de nuevo tunelizada de vuelta al equipo terminador A. Gracias a 
este mecanismo, una empresa puede unir a través de Internet por ejemplo dos ofici- 
nas remotas, teniendo garantizada la confidencialidad e integridad de la informa- 
ción transmitida. 

Cliente a sitio (client-to-site): En este tipo de red privada virtual una máquina se 
conecta a una red mediante un túnel. Este tipo de VPN es ampliamente utilizada por 
las empresas para otorgar una conexión remota a sus empleados desde Internet sin 
problemas de seguridad. Por ejemplo, se puede ubicar un terminador de túneles co- 
nectado a Internet y al mismo tiempo a la red interna, o preferiblemente a una DMZ. 
El usuario remoto procederá a establecer una VPN contra el servidor de túneles, 
después de lo cual su estación parecerá estar virtualmente en la propia empresa, 
pudiendo realizar cualquier tipo de comunicación como si estuviera en local, con la 
ventaja de utilizar una red de comunicaciones económica y con puntos de presencia 
en todo el mundo como es Internet. Esta fórmula de conexión es también válida para 
realizar teletrabajo o relaciones con proveedores, clientes o cualquier empresa cola- 
boradora. Es la explicada en el apartado anterior para particulares. 

Sitio a servidor (site-to-server): El tercer tipo de VPN es el realizado entre un cliente 
y un servidor, en definitiva la red privada virtual sólo se utiliza en la comunicación 
del cliente y el servidor. Un ejemplo muy extendido de este tipo de red es la utiliza- 
ción de SSL sobre el protocolo HTTP, ampliamente utilizado para proteger las comu- 
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nicaciones entre clientes y servidores Web. Este tipo de terminadores son muy útiles 
para descargar del establecimiento de sesión SSL a las máquinas y adicionalmente 
pueden facilitar la posibilidad de monitorizar tráfico que en origen iba cifrado. 


WMexyN Las redes locales virtuales (VLAN) permiten la creación de subredes diferentes dentro de los equipos 
de comunicaciones como si de distintos elementos físicos se tratara. El tráfico no viaja cifrado, sino 
que es marcado con un identificador de la VLAN correspondiente, ocupándose el equipo de impedir la 
comunicación entre distintas redes según su configuración. 


Desde el punto de vista del protocolo utilizado existen también distinciones entre las 
distintas redes privadas virtuales que se pueden crear: 


PPTP (Point to Point Tunneling Protocol): Protocolo para la creación de redes priva- 
das virtuales desarrollado por Microsoft y USRobotics. Es ampliamente utilizado 
para realizar accesos sobre redes remotas mediante llamada telefónica. 

L2F (Layer two Forwarding): Protocolo para la creación de redes privadas virtuales 

abanderado por CISCO. 

L2TP (Layer Two Tuneling Protocol): Protocolo que se presenta como la evolución 

de L2F y PPTP, presentando las ventajas de cada uno. 

§ IPSec (IP Security): Conjunto de protocolos desarrollados por el IETF para soportar 
el intercambio seguro de información dentro de TCP/IP. IPSec soporta dos modos de 
cifrado: transporte, en el que sólo se cifra el campo de datos; y túnel, en el que se 
cifra por completo todo el paquete, por lo que la cabecera que se añade es completa- 
mente nueva. 


D> 


Nor MPLS Multiprotocol Label Switching) permite el marcado de paquetes de información a nivel 3 con 
datos relativos a los enlaces de red (ancho de banada, latencia o utilización) propios del nivel 2. Median- 
te estas marcas es posible optimizar el ancho de banda, así como evitar la perdida de paquetes ante 
fallos en enlaces o congestiones de tráfico. 


Básicamente, una red privada virtual permite salvaguardar varias premisas de seguridad, 
entre las que destacan: 


Confidencialidad de los datos mediante aislamiento del tráfico, para evitar escuchas 
no deseadas. 

Confidencialidad de los datos en tránsito mediante el cifrado de información. 
Integridad de los datos en tránsito mediante funciones resumen (hash). 
Autenticación del origen de la conexión mediante certificados o contraseñas. 
Autenticación del destino de la conexión mediante certificados o secretos compartidos. 


a D D> D> 


Los principales equipos terminadores de túneles utilizados dentro del mundo empresarial son: 


CheckPoint VPN I. 
Cisco VPN. 

Nortel Contivity. 
NetScreen VPN. 
Microsoft ISA Server. 
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En la actualidad el mercado de las VPN SSL está en pleno crecimiento, ya que gracias a 
este tipo de red privada virtual se evita la utilización de molestos clientes software y configu- 
raciones adicionales que complican la vida al usuario. 
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Para establecer una sesión mediante una VPN SSL basta con realizar una conexión con 
un navegador tipo Internet Explorer sobre una determinada IP, desde la cual se bajará auto- 
máticamente un control ActiveX o applet Java que permitirá establecer la sesión. Una vez la 
sesión está creada, se ofrece una conexión remota al lugar destino, pudiéndose presentar 
como si se actuara en local. Esta configuración es muy útil para acceder a las empresas desde 
cualquier lugar y a cualquier hora, con el único requisito de una conexión a Internet median- 
te navegador. 
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Una gran mentira de la seguridad informática 
es que la seguridad mejora a medida que 
aumenta la complejidad de las contraseñas. 
En realidad, los usuarios simplemente anotan 
las contraseñas difíciles, volviendo el sistema 
vulnerable. La seguridad se aumenta 
diseñando en la forma como la gente 
realmente se comporta. 
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ciones de Microsoft son inseguras. Entiéndase bien: no es que los productos de Mi- 

crosoft sean inseguros, antes al contrario. Lo que ocurre es que según salen de la caja 
vienen con tanta riqueza de funcionalidad activada por defecto que se convierten en un 
riesgo para la seguridad. Puede afirmarse que, hasta la llegada de Windows 2003, el enfoque 
de Microsoft ha sido “permitir todo aquello que no esté expresamente prohibido”. Evidente- 
mente, este enfoque es muy peligroso, ya que se están dejando abiertas muchas puertas; de 
hecho, se dejan abiertas todas las puertas excepto las que el administrador cierre expresa- 
mente. Se activan gran cantidad de características que el usuario no necesita y probablemen- 
te no use jamás, con el problema agravado de que muchas de ellas abren además un agujero 
de seguridad. Al estar todas las puertas abiertas y tener que ir cerrándolas de una en una, 
puede ocurrir que el administrador se olvide de cerrar alguna. El enfoque contrario, adopta- 
do ya en Windows 2003, consiste en “prohibir todo aquello que no esté expresamente permi- 
tido”. Ahora se parte de un equipo que puede hacer muy poco, sin apenas funcionalidad, al 
que se le van añadiendo nuevas capacidades a medida que se necesitan. 

En este capítulo se muestra el proceso de fortalecimiento de equipos, redes y aplicaciones 
de manera que lleguen a ser tan seguros como pueden ser. Este fortalecimiento o endureci- 
miento (hardening) implica eliminar debilidades y asegurar servicios, con el fin de que el 
entorno resulte inmune a ataques. En definitiva, es el proceso de “cerrar puertas” o “levantar 
muros”. El fortalecimiento suele aplicarse a tres niveles diferentes: 


[ a configuración predeterminada del sistema operativo, características de red y aplica- 


Fortalecimiento del sistema operativo: Los sistemas operativos tanto de puestos de 

trabajo como servidores deben fortalecerse, lo que implica asegurar el sistema de 

archivos, gestionar usuarios y contraseñas, mantenerse al día con las actualizaciones 

de seguridad, etc. 

Fortalecimiento de red: Se deben proteger los dispositivos de red (routers y switches), 

servicios y protocolos, debe actualizarse el firmware de dispositivos, etc. 

8 Fortalecimiento de aplicaciones: Se debe controlar el acceso a las aplicaciones (bases 
de datos, servidores de correo o de Web, ofimática, etc.), actualizar su software, 
configurarlo de manera segura, restringir el acceso, eliminar vulnerabilidades, etc. 


D> 


Este fortalecimiento puede aplicarse tanto en los equipos que funcionan como servidores 
así como en los equipos de puestos de trabajo. Muchos de los procesos de fortalecimiento son 
comunes a ambos tipos de equipos, mientras que otros son específicos de uno u otro. El 
equipo debidamente fortalecido tras este proceso no significa que esté a salvo de peligros. La 
amenaza del malware, de los hackers y de los atacantes internos siempre está acechando un 
sistema informático. Aunque muchos ataques de virus se atajan mediante el fortalecimiento, 
otros conseguirán pasar a través si no se implantan nuevas medidas adicionales. Existen 
además otros ataques que no se basan en el uso de la tecnología, sino en el engaño de usua- 
rios ingenuos. Son los denominados ataques de ingeniería social, en los que el atacante 
consigue la colaboración de la víctima sin el conocimiento de ésta. En suma, el fortaleci- 
miento debe contemplarse como una medida más, como otra de las múltiples barreras de la 
defensa en profundidad, y no como una solución a prueba de bomba. La única forma de 
fortalecer su equipo al 100% es enterrarlo en un bloque de hormigón de 150 Kg, pero ¿qué 
utilidad le reportaría entonces? El fortalecimiento de equipos está muy bien, siempre y cuan- 
do se implanten las medidas de seguridad del resto de barreras de la defensa en profundidad. 

Otro aspecto que nunca debe olvidarse es el contexto en el que se aplican las medidas de 
fortalecimiento. Dependiendo de los riesgos a los que se encuentre expuesto un equipo, ya 
sean externos o internos, habrá que fortalecerlo o no, o habrá que aplicar ciertas medidas de 
entre las descritas, pero no otras. No tiene ningún sentido aplicarlas ciegamente en todos los 
equipos, puesto que en algunos se estará limitando inútilmente su funcionalidad, en la creen- 
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cia de que se está protegiendo frente a amenazas que son inexistentes en la práctica. Antes de 
aplicar ninguna de las medidas explicadas en este capítulo, debe realizarse un análisis previo 
acerca del tipo de amenazas a que está expuesto un equipo aislado o integrado en una red. Se 
debe definir el objetivo de seguridad para el equipo o equipos a proteger y evaluar la adecua- 
ción de las medidas propuestas para la consecución del objetivo. También se debe analizar el 
impacto en el rendimiento y disponibilidad, así como en la facilidad y comodidad de uso. 
Una medida solamente debe ser adoptada cuando permita alcanzar el objetivo propuesto con 
un impacto económico y funcional razonables. En caso contrario, deberán buscarse alterna- 
tivas a la medida, que podrán ser de índole técnica u organizativa. 
Las medidas de seguridad planteadas en este capítulo son las siguientes: 


Fortalecimiento del sistema operativo en clientes y servidores. 
Fortalecimiento de dispositivos de red y de la conectividad de equipos. 
Fortalecimiento de aplicaciones de cliente y de servidor. 

Protección contra malware: virus, gusanos y troyanos. 

Protección contra la ingeniería social y sus variantes. 

Protección contra el spam. 
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Recuerde, tan malo puede resultar aplicar todas las medidas propuestas como no aplicar 
ninguna. Para cada medida, debe analizarse su necesidad y adecuación en relación con los 
objetivos de seguridad planteados para la organización. Estas medidas deben aplicarse siem- 
pre dentro del contexto de seguridad de la organización. 


Fortalecimiento del sistema operativo 


La mayor parte de pasos de fortalecimiento del sistema operativo no son específicos de la 
plataforma, sino generales, es decir, que se aplican por igual a todo sistema operativo. La 
única diferencia reside en la manera como se implantan en uno u otro. En esta sección se 
detallan una serie de pasos que deberían seguirse para fortalecer sistemas operativos Win- 
dows, con independencia de si se trata de un cliente o un servidor. En contra de lo que suelen 
pensar sus detractores, Windows XP/2000/2003 incorporan una gran cantidad de caracterís- 
ticas de seguridad y privacidad. Lo que ocurre es que de manera predeterminada muchas de 
ellas vienen desactivadas. Sin embargo, si se optimizan estas características de seguridad 
pueden obtenerse sistemas altamente seguros. Microsoft ha publicado varias guías para ayu- 
dar a sus usuarios en esta labor de fortalecimiento, específicas para cada sistema operativo. 
Aparecen listadas en la Tabla 5.1. Estas guías vienen acompañadas de una buena cantidad de 
plantillas de seguridad, listas de tareas de seguridad y herramientas para asistir en la confi- 
guración de los equipos. En función de cuál sea su sistema operativo, se le recomienda que 
descargue la guía correspondiente y ponga en práctica sus recomendaciones. Esta sección 
tiene como propósito dar a conocer las características de seguridad más importantes en pla- 
taformas Windows y describir los mínimos procesos de fortalecimiento que deben implantar- 
se en todo sistema. 

Muchos de estos procesos pueden reducir drásticamente la funcionalidad de un sistema. 
Ya se sabe que la seguridad es enemiga de la funcionalidad. Cuanto más cómodo y funcional 
es un sistema, más inseguro, y viceversa. Se trata de propiedades irreconciliables entre las 
cuales hay que llegar a un compromiso, que garantice una cierta seguridad de acuerdo con la 
política de seguridad fruto de un análisis de riesgos, a la vez que se permite un uso razona- 
blemente cómodo. En consecuencia, no tiene sentido aplicar el mismo tipo de fortalecimien- 
to atodos los equipos por igual. No son iguales las amenazas a que están expuestos servidores 
que puestos de trabajo, por ejemplo. Ni son iguales los riesgos experimentados por servido- 
res accesibles desde Internet que por servidores accesibles solamente desde la red interna. 
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Tabla 5.1. Guías de Microsoft para el fortalecimiento de sus sistemas operativos 
(en inglés). 


Guía Dirección 

Microsoft Windows XP www.microsoft.com/technet/security/prodtech/winclInt/ 
Security Guide Overview secwinxp/default.mspx 

Microsoft Windows 2000 www.microsoft.com/technet/security/prodtech/win2000/ 
Security Hardening Guide win2khg/default.mspx 

Windows Server 2003 www.microsoft.com/technet/security/prodtech/win2003/ 
Security Guide w2003hg/sgch00.mspx 

Threats and Countermeasures www.microsoft.com/technet/security/topics/hardsys/tcg/ 
Guide tegch00.mspx 


La aplicación racional del proceso de fortalecimiento de un equipo exige la evaluación pre- 
via de los riesgos a los que está expuesto. 

En general, todos los equipos comparten las siguientes amenazas, aunque con diferentes 
matices en función de su ubicación y cometido: 


Enumeración: Proceso exploratorio con el fin de reunir información acerca de los 
equipos de una red o de un equipo concreto. 


Â Denegación de servicio: Ataque consistente en inundar a un equipo con peticiones de 
manera que no pueda responder a peticiones legítimas o se bloquee. 

A Acceso no autorizado: Un usuario sin las credenciales adecuadas consigue acceder a 
_ Información sensible o ejecutar operaciones restringidas. 

A Ejecución de código arbitrario: Un atacante ejecuta código malicioso arbitrario en el 


equipo comprometiéndolo o permitiéndole saltar hacia otros equipos. 

Escalada de privilegios: Un atacante consigue ejecutar código utilizando una cuenta 
privilegiada. El nirvana de todo hacker se traduce en ejecutar código como Adminis- 
trador o Sistema local (localsystem). 

S Malware: Ataques debidos a virus, gusanos y troyanos. 


En lo que sigue, se explica cómo fortalecer el sistema operativo para contrarrestar este 
tipo de amenazas y mitigar su impacto. Este proceso persigue dos objetivos bien diferencia- 
dos: en primer lugar, reducir la superficie de ataque, es decir, eliminar vulnerabilidades 
limitando las vías de ataque para alcanzar un nivel razonable de seguridad, pues eliminando 
la oportunidad de ataque, se mitiga el riesgo; en segundo lugar, mantenerse seguro a lo largo 
del tiempo, ya que la seguridad es un proceso constante, no es un estado ni un producto. A 
menudo se tiende a confundir la seguridad con un producto de seguridad. En cambio, la 
seguridad es el fruto de la colaboración sinérgica entre personas, procesos y tecnología. 

Antes de continuar adelante, es necesario explicar algunos conceptos fundamentales res- 
pecto a las directivas de seguridad en Windows. En una red de Windows, los equipos pueden 
estar en un dominio o pueden funcionar aisladamente (stand-alone), aunque se puedan ver 
unos a otros y compartir archivos. Las directivas de grupo se aplican a todos los equipos del 
dominio. Se crean utilizando la consola de administración Directiva de grupo y después se 
descargan y aplican en todos los equipos del dominio. Por su parte, las directivas locales se 
aplican a equipos individuales. En este libro no se entrará en los detalles de cómo configurar 
un directorio activo ni cómo gestionar objetos de directiva de grupo (Group Policy Objects O 
GPO) en la base de datos del Directorio Activo, ya que estos prolijos temas se tratan en 
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profundidad en las guías de la Tabla 5.1. La Directiva de grupo constituye el corazón de la 
arquitectura de gestión de configuración de la seguridad en redes Windows XP/2000/2003. 
Estas configuraciones pueden aplicarse a usuarios o a equipos. La configuración de directi- 
vas se explicará para equipos individuales, utilizando la directiva de seguridad local. De 
todas formas, la transposición a directivas de grupo resultaría inmediata para el administra- 
dor con experiencia. 


NOJÍN  Sitodavía utiliza Windows 95, 98 o ME, lo tendrá muy difícil para conseguir un sistema seguro: la mayor 
parte de medidas de seguridad descritas en esta sección no existen para ellos. La mejor solución pasa 
por actualizarse a Windows XP 


Reducción de la superficie de ataque 


El primer paso en el fortalecimiento de los equipos consiste en reducir la superficie de ata- 
que. Imagine que tiene que disparar a alguien con una pistola. Cuanto más alto y gordo sea, 
más fácil le resultará acertarle. En un equipo sucede algo parecido. Cuantas más vulnerabi- 
lidades posea, más fácil será dar con una y explotarla. Si las elimina, irá reduciendo la 
superficie de ataque disponible para el intruso, aumentando por tanto la seguridad del siste- 
ma: la diana será cada vez más pequeña. Eso sí, nunca vaya a pensar que mediante este 
proceso se alcanza la seguridad. El fortalecimiento de equipos no es sino una de las múltiples 
barreras de una defensa en profundidad. Recuerde que si el tirador se acerca suficientemente 
a la diana, por pequeña que ésta sea, dará en el blanco. 

La manera como reducir la superficie de ataque en un equipo consiste en desactivar o 
eliminar servicios, protocolos y funcionalidad que no se usa o no se necesita. El resultado 
final es que reduce la oportunidad de ataque. En pocas palabras: 


Si no se usa, se debe eliminar o desactivar. 


Eliminación de servicios innecesarios 


Todos los equipos con sistema operativo Windows, aunque se trate de puestos de trabajo, 
ofrecen servicios a otros equipos. En una instalación predeterminada de Windows existen 
muchos servicios cuyo tipo de inicio está configurado como Automático, es decir, que se 
ejecutan automáticamente cuando se inicia el sistema operativo o cuando el servicio se llama 
por primera vez. Sin embargo, si el inicio del servicio está configurado como Manual, en- 
tonces debe ser iniciado manualmente por el administrador antes de que el sistema operativo 
pueda cargarlo y ponerlo a disposición de los clientes. Por último, si el servicio está configu- 
rado como Deshabilitado, entonces no puede iniciarse ni manual ni automáticamente. 
Para cambiar el estado de un servicio: 


— 


Seleccione Inicio>Todos los programas>Herramientas administrativas>Servicios. 

2. Haga doble clic sobre el servicio deseado y seleccione la pestaña General. En fun- 
ción de su estado actual, podrá iniciarlo, detenerlo, pausarlo o reanudarlo, sin más 
que pulsar el botón adecuado. 

3. Para cambiar el tipo de inicio, seleccione Automático, Manual o Deshabilitado. 

4. Para cambiar la identidad con la que se ejecuta el servicio, seleccione la pestaña 
Iniciar sesión y a continuación seleccione la opción Cuenta del sistema local si 
desea que se ejecute como el usuario Sistema local (LocalSystem) o si desea que se 
ejecute como algún otro usuario seleccione la opción Esta cuenta y rellene las cre- 
denciales adecuadamente. 

5. Cuando haya terminado pulse Aceptar. (Véase Figura 5.1.) 
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e Servicios 
Archivo Acción Yer Ayuda 
e >| 2 


k = Servicios ES 


Nombre Descripción Estado Tipo de inicio Iniciar sı A 
SRy MSSQLSERVER Manual Sistema 
SRy MSSQLServeråDHelper Manual Sistema 
KANLA (Network Location Awareness) Recopila y... Iniciado Manual Sistema 
SBa Norman API-hooking helper Iniciado Manual Sistema 
Iniciado Manual Sistema 

Eg Norman Virus Control on-access component Iniciado Manual Sistema 

Eg Norman Virus Control Scheduler Iniciado Manual Sistema 
Descripción: Sa Norman ZANDA Iniciado Automático Sistema 
Registra sucesos del sistema SA ETE Registra su... Iniciado ean kaltean] 
como los de inicio de sesión SBa OracleMTSRecoveryService Iniciado Automático Sistema 
en Windows, red y energia, y S OracleOraHome92ClientCache Manual Sistema 
los notifica a los suscriptores “Be PaPsdkService Manages p... Iniciado Automático Sistema 
de sucesos del sistema Sa Plug and Play Habilita un ... Iniciado Automático Sistema 
COM-+, Eg Portafolios Habilita el Y... Manual Sistema 
¿Hg Programador de tareas Habilita un ... Iniciado Automático Sistema 
Sa Protocolo simple de transferencia de correo (SMTP) Transporta... Iniciado Automático Sistema s 
< > 


Notificación de sucesos 
del sistema 


Detener el servicio 


Reiniciar el servicio Sy Norman NJeeves 


b Extendido Á Estándar 








Figura 5.1. Consola de administración de servicios de Windows. 


La cuestión es: ¿qué servicios eliminar y cuáles dejar? En principio, el enfoque más 
seguro a seguir consiste en dejar solamente aquello que se utiliza y eliminar todo lo demás. 
Por desgracia, debido a la falta de documentación de Microsoft respecto a sus servicios, a 
veces es difícil saber qué pasará al desactivarlos. La siguiente lista incluye los mínimos 
servicios necesarios para que un equipo funcione en una configuración de alta seguridad: 


DNS Client 

EventLog 

IPSec Policy Agent 

Logical Disk Manager 
Network Connections Manager 
Plug & Play 

Protected Storage 

Remote Procedure Call 
Remote Registry Service 
RunAs service 

Security Accounts Manager 


a D D D D D D D D D 


Si desea compartir archivos entre equipos, entonces necesitará además los siguientes dos 
servicios: 


Server: Utilizado para compartir los recursos del equipo. 
S Workstation: Utilizado para conectarse a otro equipo que comparte sus recursos. 


Algunos servicios dependen de otros para su funcionamiento. Debe asegurarse antes de 
borrar un servicio de que no resulta necesario para el funcionamiento de otros que desea 
conservar. Conocer estas dependencias es muy sencillo. En la ventana Servicios seleccione 
la pestaña Dependencias y podrá comprobar qué servicios dependen de qué otros. 


Capítulo 5: Protección de equipos 243 


La herramienta Depends.exe, que puede descargarse gratuitamente desde el sitio Web 
www.dependencywalker.com, sirve para detectar dependencias de servicios dentro de pro- 
gramas y ejecutables (.exe, .dll, .ocs, .sys, etc.). Dependiendo del uso a que se destine el 
equipo habrá servicios de los que no se puede prescindir, mientras que otros son superfluos. 
En definitiva, saber qué servicios son necesarios y cuáles prescindibles es cuestión de prueba 
y error. 


Protección de cuentas 


En primer lugar, debe activarse el uso de contraseñas para proteger las cuentas de los usua- 
rios. Cuando se dan de alta nuevos usuarios, actívese siempre la opción Crear una contra- 
seña. 

Como norma general, no se recomienda utilizar las sugerencias de contraseñas para 
cuando éstas se han olvidado, ya que serán visibles por todas las personas con acceso físico al 
equipo. 

Respecto a las cuentas que no se utilicen más, deben borrarse o desactivarse. Para equi- 
pos aislados o en un grupo de trabajo: 


1. Haga clic con el botón secundario del ratón sobre el icono Mi PC del escritorio y 
seleccione Administrar en el menú contextual. 

2. Seleccione Administración del equipo (local)>Herramientas del sistema>Usuarios 
locales y grupos>Usuarios. 

3. Para borrar una cuenta, selecciónela y pulse la tecla Supr. 

4. Para desactivarla, haga doble clic sobre la cuenta en cuestión y verifique la casilla 
Cuenta deshabilitada. 


Conviene desactivar el modo de inicio de sesión con pantalla de bienvenida, ya que 
informa a cualquier persona con acceso físico al equipo acerca de los nombres de los usuarios 
del equipo. Para ello: 


1. Seleccione Inicio>Panel de control y haga doble clic sobre Cuentas de usuario. 
2. Seleccione Cambiar la forma en la que los usuarios inician y cierran sesión y 
desactive la casilla Usar la Pantalla de bienvenida. 


En adelante aparecerá una ventana pidiendo las credenciales del usuario. Para que no 
aparezca el nombre del último usuario que inició sesión en el equipo, utilice la directiva de 
seguridad local: 


1. Seleccione Inicio>Todos los programas>Herramientas administrativas>Directiva 
de seguridad local. 

2. Seleccione Configuración de seguridad>Directivas locales>Opciones de seguri- 
dad. 

3. Haga doble clic sobre Inicio de sesión interactivo: no mostrar el último nombre de 
usuario y seleccione Habilitada. 

4. Depaso, haga doble clic sobre Cuentas: cambiar el nombre de la cuenta del admi- 
nistrador e introduzca un nombre diferente. Téngase en cuenta que “Administra- 
dor” es uno de los nombres predeterminados más conocidos y blanco prioritario de 
ataques. De esta manera se mitiga ligeramente el impacto de un ataque sobre esta 
cuenta todopoderosa. Puede incluso crear una cuenta sin privilegios denominada 
“Administrador” a modo de cebo. Puede repetir la misma operación para la cuenta 
de invitado. 
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Con el fin de llevar a la práctica la política de puesto de trabajo despejado, debería exigir- 
se el uso de protectores de pantalla con contraseña. Cada vez que un usuario deje un equipo 
desatendido debería o bien cerrar su sesión o bien bloquear el equipo. En el primer caso debe 
seleccionar Inicio>Cerrar sesión. En el segundo caso, en equipos en un dominio o aislados 
que hayan desactivado la pantalla de bienvenida al iniciar sesión se debe utilizar la combina- 
ción de teclas Ctrl-Alt-Supr y a continuación pulsar el botón Bloquear equipo. El protector 
de pantalla con contraseña también debe activarse: 


1. Haga clic con el botón secundario del ratón sobre cualquier punto del escritorio y 
seleccione Propiedades en el menú contextual. 

2. Seleccione la pestaña Protector de pantalla. 

3. Seleccione un protector de pantalla de la lista desplegable y verifique la casilla Pro- 
teger con contraseña al reanudar. 


Directivas de contraseñas 


Como ya se vio en el Capítulo 3, las contraseñas constituyen el método de autenticación más 
inseguro, a pesar de ser el más utilizado. Para aliviar la situación, en toda organización 
deberían implantarse unas directivas de contraseñas que contemplen como mínimo los si- 
guientes aspectos: 


Complejidad de contraseñas: Si la contraseña es fácil de adivinar o muy corta, caerá 
rápidamente ante ataques de diccionario o de fuerza bruta. Por este motivo, debe 
establecerse siempre una longitud mínima, obligar a utilizar caracteres alfanuméricos 
y signos de puntuación, mayúsculas y minúsculas, etc. 


Â Bloqueo de cuentas: Para evitar que un atacante pruebe indefinidamente distintas 
contraseñas hasta dar con la correcta, debe configurarse un umbral de intentos de 
inicio de sesión fallidos, traspasado el cual, la cuenta atacada se bloquea durante un 

_ tiempo también configurable. 

A Caducidad de contraseñas: Si las contraseñas pueden durar eternamente, se abre una 


ventana de tiempo ilimitada durante la que se pueden hacer pruebas o durante la cual 
el usuario puede terminar revelándola, voluntaria o involuntariamente. Debe obli- 
garse a que las contraseñas expiren al cabo de un período de tiempo determinado, 
transcurrido el cual no queda más remedio que cambiarlas. En palabras de Clifford 
Stoll: “Trate su contraseña como si fuera su cepillo de dientes. No la comparta con 
nadie y cámbiela cada seis meses”. 

8 Historial de contraseñas: Si la nueva contraseña se elige igual a la anterior u otra 
usada recientemente o es muy parecida, poco se habrá adelantado. Debe prohibirse la 
reutilización de contraseñas antiguas, ya sean iguales o parecidas. 


La manera como estas restricciones se imponen a las contraseñas en Windows XP/2000/ 
2003 es mediante las directivas de seguridad. 


1. Seleccione Inicio>Todos los programas>Herramientas administrativas>Directiva 
de seguridad local. 

2. Despliegue el nodo Directivas de cuenta>Directiva de contraseñas. Desde ahí podrá 
configurar la complejidad de contraseñas (Las contraseñas deben cumplir los reque- 
rimientos de complejidad y Longitud mínima de la contraseña), su caducidad (Vi- 
gencia máxima de la contraseña) y el historial (Forzar el historial de contraseñas). 

3. Despliegue el nodo Directivas de cuenta>Directiva de bloqueo de cuentas. Desde 
ahí podrá configurar el número de intentos fallidos de inicio de sesión (Umbral de 
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bloqueos de cuenta) y el tiempo que la cuenta permanecerá bloqueada (Duración 
del bloqueo de cuenta). (Véase Figura 5.2.) 


Una vez que se instauren estas directivas, los usuarios tendrán problemas para recordar contraseñas 
tan complejas, cambiadas con tanta frecuencia. Para crear contraseñas complejas fáciles de recordar 
utilice una frase y quédese con las iniciales, por ejemplo: “Según Pedro Solbes, la inflación subirá 
un 1,5% en los próximos seis meses”. La contraseña obtenida sería SP$lis11,5%elp6m. Extraordina- 
riamente compleja y, sin embargo, muy fácil de recordar. 


La directiva Almacenar contraseña usando cifrado reversible para todos los usuarios 
del dominio debería establecerse siempre a Deshabilitada (opción predeterminada), ya que 
en caso contrario las contraseñas se almacenan en forma más débil que podría facilitar su 
obtención por un atacante. Solamente en los casos en que se utilice una aplicación que lo 
requiera, como autenticación mediante el protocolo CHAP (Challenge Handshake Authen- 
tication Protocol) o autenticación de texto implícita en IIS, debería habilitarse, y aún así 
sería preferible recurrir a otro mecanismo de autenticación. 

Por último, en cumplimiento de las medidas de seguridad que la LOPD exige adoptar, 
entre las que se cuenta la obligación de informar a las personas de la organización acerca de 
las normas de seguridad que afecten a sus funciones, pueden crearse mensajes de advertencia 
que serán vistos por todos los usuarios antes de iniciar sesión. 


1. En la ventana de Directiva de seguridad local, seleccione el nodo Directivas 
locales>Opciones de seguridad. 

2. Localice la directiva Inicio de sesión interactivo: título del mensaje para los usua- 
rios que intentan iniciar una sesión. Escriba un texto para el título de la ventana 
que se le mostrará al usuario cada vez que inicie sesión. 

3. A continuación localice la directiva Inicio de sesión interactivo: texto del mensaje 
para los usuarios que intentan iniciar una sesión. Escriba un texto para el cuerpo 
del mensaje. 


MATAR EC ATEN 


Archivo Acción Yer Ayuda 
E E 


7 Configuración de seguridad Directiva Configuración de £ 





(9 Directivas de cuenta Rg] Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio Deshabilitada 
03 Directiva de contraseñas 


19 Directiva de bloqueo de cuentas 
C Directivas locales 
(3 Directivas de claves públicas 
(3 Directivas de restricción de software 
+ 2 Directivas de seguridad IP en Equipo local 


(£8]Forzar el historial de contraseñas O contraseñas rec: 
£2]Las contraseñas deben cumplir los requerimientos de complejidad Deshabilitada 

28] Longitud mínima de la contraseña O caracteres 

Ra] vigencia máxima de la contraseña 42 días 

Ra] vigencia mínima de la contraseña O días 








Figura 5.2. Directivas de contraseñas. 
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La política de seguridad de la organización debería definir ambos textos, ya que no es 
asunto baladí. Estos avisos son importantes pues aumentan la responsabilidad penal de un 
intruso, que no podrá alegar que ignoraba que estaba atacando un sistema privado. 


Principio del mínimo privilegio 


La correcta asignación de permisos a usuarios y aplicaciones debe formar parte integral de 
toda política de seguridad. Resulta evidente que no todo el mundo debe contar con los mis- 
mos privilegios de acceso sobre todos los objetos. El principio del mínimo privilegio consti- 
tuye una de las máximas fundamentales de la seguridad de la información: 


Todo usuario o programa debe tener asignados los mínimos privilegios necesarios de 
manera que pueda seguir realizando su función. 


Como corolario de este principio se deduce que a los usuarios debería prohibírseles el 
acceso a todos los objetos que no son necesarios para desempeñar sus funciones. La política 
de seguridad de la empresa debe detallar los criterios que definan el acceso, basados en la 
identidad de los usuarios, su puesto, sus funciones, su ubicación, la hora, etc. 

Este concepto de mínimo privilegio se encuentra íntimamente ligado con el de separa- 
ción o segregación de obligaciones y responsabilidades: las tareas más sensibles no son rea- 
lizadas por un único usuario, sino que se asignan a diferentes usuarios de manera que ninguno 
solo sea capaz de llevarlas a cabo todas. En consecuencia, se limita así la oportunidad de 
realización de actividades maliciosas, fraudulentas o no autorizadas, a la vez que se aumenta 
la capacidad de su detección. Si uno de ellos es engañado (vea los ataques de ingeniería 
social más adelante) o deliberadamente desea causar daño, el alcance de sus acciones se verá 
drásticamente limitado y con toda certeza no pasará desapercibido. 

Una de las debilidades de seguridad más frecuentemente encontradas en todo tipo de 
empresas es precisamente que los usuarios tienen muchos más privilegios de los que necesi- 
tan en realidad. O lo que es peor, existen usuarios que utilizan cuentas administrativas para 
desarrollar su trabajo diario. Es habitual escuchar la excusa de que si tal programa o usuario 
no trabaja como administrador, las cosas no funcionan. Si bien es posible que requiera más 
privilegios que un usuario normal para ciertas tareas, lo que es seguro es que no necesita ser 
administrador todo el tiempo. Cuando se den de alta usuarios, deben ser usuarios con el tipo 
de cuenta Limitada. 

Por tanto, para su trabajo habitual, nunca utilice una cuenta de administrador o miembro 
del grupo Administradores. Utilice siempre un usuario normal, tal vez con más privilegios 
que otros usuarios, pero solamente allí donde sea absolutamente necesario. Para las activida- 
des más peligrosas, como navegar por Internet o leer el correo, utilice una cuenta con los 
mínimos privilegios posibles. Si en algún momento necesita ejecutar algún programa como 
administrador, puede cerrar la sesión e iniciar una nueva sesión como administrador. De esta 
forma tendrá que cerrar todas las aplicaciones que tenía abiertas. En la mayoría de circuns- 
tancias, en vez de cerrar la sesión le resultará más cómodo utilizar la función Ejecutar como: 
haga clic sobre el nombre del programa con el botón secundario del ratón y seleccione Eje- 
cutar como. Seleccione la opción El siguiente usuario e introduzca las credenciales del 
nuevo usuario. Esta filosofía de comportamiento se ilustra en la Figura 5.3 y debería estar 
recogida en la política de seguridad de la empresa. 


uewe) Si algunos programas los ejecuta siempre como otro usuario, puede ahorrar tiempo si hace clic sobre 
su acceso directo con el botón secundario del ratón y selecciona Propiedades. A continuación pulse el 
botón Propiedades avanzadas y verifique la casilla Ejecutar con credenciales diferentes. 
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Figura 5.3. Aplicación del principio de mínimo privilegio a las actividades cotidianas. 


Existen multitud de programas incorporados por defecto al sistema operativo, típicamen- 
te invocados por los hackers y virus en sus ataques. Normalmente, estos programas no tienen 
por qué ser llamados por usuarios normales del equipo ni mucho menos por el usuario Siste- 
ma local (LocalSystem). Por tanto, una buena práctica consiste en eliminar todos los permi- 
sos de usuarios diferentes de aquellos administradores que de verdad los necesiten. 
Evidentemente, en lugar de dar permiso individualmente a cada usuario, se debe crear un 
grupo especial para este fin y otorgar permiso de ejecución a los usuarios del grupo, mientras 
que se revoca para todos los demás usuarios. La lista de estos programas es la siguiente, con 
cmd.exe, el intérprete de comandos, a la cabeza de todos: 


cmd.exe 
arp.exe 
at.exe 
atsvc.exe 
cacls.exe 
debug.exe 
edit.com 
edlin.exe 
finger.exe 
ftp.exe 
Ipconfig.exe 
nbtstat.exe 
net.exe 
netstat.exe 
nslookup.exe 
ping.exe 
posix.exe 
qbasic.exe 
rep exe 
rdisk.exe 
regedit.exe 
regedt32.exe 
rëxec.exe 
route.exe 


D D D O D D Y D DY D DADA DADO o o o o o o 


248 Seguridad informática para empresas y particulares 


rsh.exe 
runonce.exe 
secfixup.exe 
syskey.exe 
telnet.exe 
tracert.exe 
XCOpy.exe 
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Directivas de restricción de uso de software 


Como se verá más adelante en este mismo capítulo, existe una gran variedad de software 
malicioso o malware que busca ejecutarse en el equipo de las víctimas. Para empeorar más 
las cosas, muchos empleados instalan su propio software sin ningún tipo de control: progra- 
mas que a menudo nada tienen que ver con su trabajo, como aplicaciones de chat, P2P, 
mensajería instantánea, etc. Aunque este tipo de eventualidades deberian contemplarse en la 
política de seguridad de la organización, no está de más forzar un control tecnológico que 
impida la instalación y ejecución de software espurio. Las directivas de restricción de soft- 
ware tienen por objeto restringir la ejecución de aplicaciones desconocidas o no fiables me- 
diante la definición de lo que es software de confianza y software en el que no se confía. 
Posteriormente, se crea una directiva de seguridad que determina qué aplicaciones pueden 
ejecutarse y cuáles no. 
Estas directivas contemplan dos niveles de seguridad: 


No permitido: El software no se ejecutará, sin importar derechos de acceso de usuario. 
8  Irrestricto: Los derechos de acceso al software están determinados por los derechos 
de acceso del usuario. 


Estas directivas pueden aplicarse a usuarios concretos o a toda la máquina. Cada vez que 
un usuario intente ejecutar un programa, el sistema operativo comprueba la política para 
decidir si se ejecuta finalmente o no. 

Existen dos enfoques para utilizar las directivas de restricción de software: 


Si el administrador conoce todo el software que se ejecutará en un equipo, se crea la 
directiva de seguridad de manera que sólo se permita la ejecución de programas en 
esa lista, es decir, nivel de seguridad predeterminado igual a No permitido. Este 
enfoque es el más seguro, pero exige conocer bien qué programas se necesitan para la 
operación normal del equipo. 

S  Siel administrador desconoce qué aplicaciones ejecutarán los usuarios de un equipo, 
entonces se puede crear una lista de aplicaciones y extensiones de archivos prohibi- 
dos, estableciendo el nivel de seguridad predeterminado a Irrestricto. 


A la hora de identificar al software, la directiva puede basarse en cuatro tipos diferentes 
de reglas: 


Ruta de acceso: La aplicación se ejecuta o no en función de cuál sea su ruta de acceso. 
Si la ruta de acceso es una carpeta, entonces cualquier programa que cuelgue de esa 
carpeta o de sus subcarpetas verificará la regla. También se permiten caracteres co- 
modín: por ejemplo, se puede utilizar “admin_*.exe” para denotar todos los archivos 
con extensión .exe cuyo nombre comienza por “admin_”. 

A Hash: El hash de los contenidos del archivo ejecutable determina si se ejecuta o no. 


Dado que el hash identifica unfvocamente al programa (no hay dos programas 
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distintos con el mismo hash), si éste se cambia de carpeta, la regla se seguirá verifi- 
cando. 

A Certificado: La aplicación debe poseer un certificado asociado, en función del cual se 
le permite o no la ejecución. La regla funcionará con independencia de la ubicación 
del programa. 

8 Zona de Internet: La ejecución o no dependerá de la zona de Internet desde la que se 
haya descargado el programa. Se reconocen las siguientes zonas: Intranet local, Si- 
tios de confianza, Sitios restringidos e Internet. Para una descripción más exhaustiva 
de las zonas de seguridad de Internet Explorer, consulte la Tabla 5.6. 


Además de las reglas anteriores, existen unas reglas adicionales que permiten refinar las 
restricciones impuestas al software: 


Obligatoriedad: Determina si las directivas de restricción de software se aplican tam- 

bién a archivos DLL. 

Tipos de archivo designados: Permite añadir o eliminar tipos de archivo de la lista de 

las extensiones que se consideran como ejecutables. 

8 Editores de confianza: Determina qué tipo de usuarios pueden seleccionar editores 
de confianza. Esta regla se utiliza en conjunción con la regla de certificado. 


D> 


La evaluación de las reglas se realiza en un orden predeterminado, de manera que si un 
programa cumple la condición de varias reglas, toma precedencia la que identifique el pro- 
grama de manera más específica: primero hash, luego certificado, luego ruta, luego zona y 
por último la regla predeterminada. 

A continuación se muestra un ejemplo de cómo configurar una directiva para bloquear 
scripts maliciosos en un equipo individual. Ya se sabe que estos scripts han ocasionado 
multitud de problemas en el pasado. Sin ir más lejos, el tristemente célebre virus “I love you” 
(aunque técnicamente hablando era un gusano) que azotó Internet durante la primavera 
del año 2000, utilizaba precisamente un script en Visual Basic con extensión .vbs. Las exten- 
siones utilizadas por los scripts y, por tanto, peligrosas en potencia, son .vbs, .vbe, .js, .jse, 
wsf, .wsh. 


1. Seleccione Inicio>Todos los programas>Herramientas administrativas>Directiva 
de seguridad local. 

2. Despliegue el nodo Directivas de restricción de software>Niveles de seguridad. 
Verifique que el nivel predeterminado es Irrestricto. 

3. A continuación, haga clic con el botón secundario del ratón sobre Reglas adiciona- 
les y seleccione Regla de nueva ruta. 

4. En el cuadro Ruta de acceso escriba *.vbs. En el cuadro de lista Nivel de seguridad 
seleccione la opción No permitido. Pulse Aceptar. Comprobará que se ha agregado 
la nueva regla. 

5. Repita los pasos 3 y 4 para cada tipo de extensión. 


Si intenta ejecutar cualquier script, aparecerá un mensaje de error como el de la Figu- 
ra 5.4. 

El problema que plantea el utilizar esta directiva es que no se podrá ejecutar ningún tipo 
de script, aunque sea un script benigno que creó el administrador para ciertas tareas admi- 
nistrativas. Si desea permitir la ejecución de ciertos scripts, dispone de varias alternativas: 


Si están todos agrupados en la misma carpeta, puede permitir la ejecución a todo el 
software que cuelga de esa carpeta. Para ello, tendrá que crear nuevas reglas de ruta, 
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Windows Script Host 


Error al ejecutar Windows Script Host. Clindows no puede abrir este programa porque 
se lo ha impedido una directiva de de restricción de software. Para más información, 
abra el Visor de sucesos o póngase en contacto con el administrador del sistema, 


) 





Figura 5.4. Mensaje de error generado por el sistema operativo cuando la directiva de 
restricción de software impide la ejecución de un programa. 


permitiendo la ejecución a los archivos *.vbs, *.js, etc., bajo esa ruta de acceso. 

Como esta regla es más específica que las anteriores, tendrá precedencia sobre ellas. 

Tenga en cuenta también que si un atacante situase ahí su script, éste se ejecutaría. 

A Sison unos pocos scripts, que pueden estar en diferentes ubicaciones, entonces pue- 
de crear tantas nuevas reglas de hash como scripts tenga. Ahora no hay problema de 
suplantación, porque ningún nuevo script podrá tener nunca el mismo hash que los 
administrativos. 

S Si todos los scripts están firmados digitalmente, puede crear una nueva regla de 
certificado, permitiendo la ejecución a todo el software firmado con una identidad 
dada. De nuevo, el software malicioso no estará firmado, por lo que tampoco podrá 
ejecutarse. 


El lector especialmente interesado en este tema puede encontrar una guía exhaustiva 
sobre cómo configurar las directivas de restricción de software en www.microsoft.com/technet/ 
prodtechnol/winxppro/maintam/rstrplcy.mspx. 


Permisos NTFS y listas de control de acceso 


Una de las mayores ventajas con respecto a la seguridad ofrecida por el sistema de archivos 
NTFS, disponible en Windows XP/2000/2003, reside en el control de acceso. Mediante la 
creación de listas de control de acceso discrecional (Discretionary Acces Control Lists O 
DACL) se puede restringir qué usuarios tienen acceso a qué recursos y con qué permisos, es 
decir, qué acciones pueden llevar a cabo sobre ellos. Las DACL, normalmente abreviadas 
como ACL, se basan en los conceptos de usuarios y grupos de usuarios. Un grupo de usuarios 
permite agrupar a diferentes usuarios a los que se desea asignar los mimos permisos. Los 
permisos pueden aplicarse sobre archivos individuales o sobre carpetas con todos sus archi- 
vos y subcarpetas. Para poder asignar los permisos sobre un recurso se debe ser su propieta- 
rio o bien poseer el permiso para realizar dichos cambios. Los tipos de permisos que se 
pueden asignar dependen del tipo de objeto, aunque algunos son comunes a todos, como leer, 
escribir, borrar o cambiar el propietario. Este tipo de control de acceso se llama discrecional 
porque queda a discreción del propietario del objeto decidir quién accede al mismo y con qué 
privilegios. Ejemplos de recursos que pueden protegerse mediante permisos son: 


Archivos y directorios NTFS. 

Recursos compartidos, como por ejemplo WMiPortatillMisFotos. 
Claves del Registro. 

Memoria compartida. 

Impresoras. 


DSD 


Capítulo 5: Protección de equipos 251 


Objetos de directorio activo. 
Trabajos. 
Procesos y hebras (threads). 
Servicios. 


un DD > D 


Cada ACL incluye cero o más entradas de control de acceso (Access Control Entry o 
ACE). Una ACE incluye dos componentes principales: una cuenta representada por su ID de 
seguridad (Security ID o SID) y una descripción de lo que el SID puede hacer con el recurso 
en cuestión: leer, escribir, crear, etc. El SID puede representar a un usuario, a un grupo o a un 
equipo. Siempre que se pueda, conviene asignar los permisos a grupos y no a usuarios indi- 
viduales. De esta manera, los cambios futuros serán mucho más llevaderos. 

Para cambiar los permisos de un archivo o carpeta: 


1. En el Explorador de Windows, haga clic con el botón secundario del ratón sobre el 
recurso en cuestión y seleccione Propiedades. 

2. Seleccione la pestaña Seguridad. 

3. En el cuadro Nombres de grupos o usuarios aparecen los usuarios y grupos que 
tienen acceso al archivo. Para ver con qué permisos, seleccione uno de ellos y com- 
pruébelo en el cuadro inferior. Si dispone de permisos suficientes, podrá modificar 
los permisos de un usuario o grupo dado. 

4. Para añadir nuevos usuarios o grupos, pulse el botón Agregar. En la ventana Selec- 
cionar usuarios o grupos pulse el botón Avanzadas y a continuación Buscar ahora. 
Aparecerán listados todos los usuarios y grupos locales y del dominio (si es que el 
equipo está en uno). Seleccione uno o más y pulse Aceptar dos veces. 

5. Para eliminar un usuario o grupo, selecciónelo y pulse Quitar. 


es] Sila pestaña Seguridad no aparece en un equipo con Windows XP abra una ventana del Explorador 
de Windows y seleccione Herramientas>Opciones de carpeta>Ver. Deshabilite la casilla Utilizar uso 
compartido simple de archivos (recomendado) y pulse Aceptar. 


Si en un momento dado observa que las casillas de permisos están sombreadas y no las 
puede modificar, se debe a que los permisos del objeto que está examinando se han heredado 
de la carpeta padre. La herencia permite a los administradores asignar y administrar permi- 
sos fácilmente. 

También resulta posible auditar el acceso de los usuarios a los objetos. De esta manera, 
podrá ver los sucesos relativos a la seguridad en el registro de seguridad con el Visor de 
sucesos. Para obtener más información, consulte la sección “Rastros de auditoría” del Capí- 
tulo 6. 


¿Qué pasa si un usuario ha denegado acceso a sus recursos a todo el mundo, incluido el administra- 
dor, y deja la empresa? En estos casos, el administrador puede tomar propiedad de los recursos y 
modificar sus ACL. Seleccione el recurso o recursos y haga clic con el botón secundario del ratón. 
Seleccione Propiedades y a continuación seleccione la pestaña Seguridad. Pulse el botón Opciones 
avanzadas y seleccione la pestaña Propietario. En la lista Cambiar propietario a aparecerán listados 
los usuarios con el permiso “Take ownership of files and other objects” y el administrador. Seleccione 
el usuario deseado, que pasará a ser propietario del objeto, por tanto con la potestad de modificar 
sus ACL. 


La seguridad mediante permisos de acceso sólo está disponible para el sistema de archi- 
vos NTFS. Para saber si sus discos utilizan el sistema de archivos NTFS o el antiguo e 
inseguro FAT32: 
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1. Seleccione Inicio>Mi PC. 

2. Haga clic con el botón secundario del ratón sobre el disco local en cuestión y selec- 
cione Propiedades. 

3. La propiedad Sistema de archivos debería poseer el valor NTFS. En caso contrario, 
debe utilizar la herramienta convert.exe para realizar la conversión. Abra una venta- 
na de MS-DOS y ejecute el siguiente comando: “convert letra: /fs:ntfs”, donde letra 
es la letra de la unidad de disco. Se le pedirá que introduzca el nombre de volumen. 

4. Sila conversión se intenta realizar sobre la unidad que almacena el sistema operati- 
vo, se le preguntará si desea programar la conversión para la próxima vez que se 
inicie el equipo. En tal caso, diga que sí y reinícielo. 


Plantillas de seguridad 


Una forma rápida para configurar la seguridad de los equipos consiste en utilizar las planti- 
llas de seguridad. Las plantillas de seguridad son archivos de texto con extensión .inf que 
permiten especificar las directivas de seguridad de grupo y locales para equipos individuales 
o en un dominio. Las plantillas de seguridad no introducen ningún parámetro de seguridad 
nuevo, sino que simplemente organizan todos los atributos de seguridad existentes en una 
única ubicación para facilitar la administración de la seguridad. La mayor ventaja que ofre- 
cen estas plantillas es que, una vez definidas, permiten efectuar todos los cambios de seguri- 
dad de golpe en equipos individuales o en multitud de equipos a la vez. Si el equipo no está 
en un dominio, se puede utilizar el complemento Directiva de seguridad local para importar 
las plantillas. Si los equipos están en un dominio, entonces las plantillas se importan me- 
diante la Directiva de grupo. En la Tabla 5.2 se listan las opciones de seguridad configurables 
a través de las plantillas. 

Puede crear una plantilla de seguridad nueva con sus propias preferencias o bien utilizar 
una de las plantillas de seguridad predefinidas. Las plantillas de seguridad predefinidas se 
proporcionan como punto de partida para crear directivas de seguridad que se personalizan 
para cumplir los diferentes requisitos organizativos. De forma predeterminada, las plantillas 
de seguridad predefinidas están almacenadas en C:\Windows\Security\Templates. Las plan- 
tillas predefinidas son: 


Seguridad predeterminada (Setup security.inf): Configuración predeterminada de se- 
guridad. 


Tabla 5.2. Descripción de las opciones de configuración de la seguridad. 


Área de seguridad Descripción 

Directivas de cuentas Directiva de contraseña, Directiva de bloqueo de cuentas y 
Directiva Kerberos. 

Directivas locales Directiva de auditoría, Asignación de derechos de usuario y 
Opciones de seguridad. 

Registro de sucesos Configuración del registro de sucesos de aplicación, sistema y 
seguridad. 

Grupos restringidos Pertenencia a grupos importantes para la seguridad. 

Servicios del sistema Inicio y permisos de los servicios del sistema. 

Registro Permisos para las claves del Registro del sistema. 


Sistema de archivos Permisos de archivos y carpetas. 


D> 
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Compatible (Compatws.inf): Disminuye la severidad de los permisos predetermina- 
dos de archivos y Registro para el grupo de usuarios de modo que sea coherente con 
los requisitos de la mayoría de aplicaciones no certificadas. El grupo de Usuarios 
avanzados debería usarse comúnmente para ejecutar aplicaciones no certificadas. 
Segura (Secure*.inf): securedc proporciona directivas de cuentas de dominio 
mejoradas, limita el uso de autenticación en LanManager y proporciona restriccio- 
nes adicionales a usuarios anónimos. Si un controlador de dominio se configura con 
Securedc, un usuario con una cuenta en aquel dominio no podrá conectarse a ningún 
servidor miembro desde un cliente que sólo tiene LanMan. securews proporciona 
directivas mejoradas de cuentas locales, limita el uso de la autenticación de LanMan, 
habilita la firma SMB en el lado de servidor y proporciona restricciones adicionales 
para usuarios anónimos. LanManager es un protocolo de autenticación considerado 
inseguro que sólo se mantiene por compatibilidad con equipos Windows 95/98. Ha 
sido sustituido por NTLMv2, algo más seguro. 

De alta seguridad (hisec*.inf): hisecws es un superconjunto de securews. Proporcio- 
na restricciones adicionales de autenticación en LanManager y requisitos adiciona- 
les para el cifrado y firma de información de canales seguros y SMB data. 
Seguridad de la raíz del sistema (Rootsec.inf): Aplica permisos raíz predeterminados 
a la partición del sistema operativo y los propaga a los objetos secundarios que son 
heredados de la raíz. El tiempo de propagación depende del número de objetos se- 
cundarios sin protección. 

SID de usuario que no es de Terminal Server (Notssid.inf): Si no se utiliza Terminal 
Server, esta plantilla se puede aplicar para quitar los SID de Terminal Server innece- 
sarios de las ubicaciones del sistema de archivos y el Registro. 


Para crear o editar una plantilla de seguridad, puede utilizar el complemento Plantillas 
de seguridad: 


o T 


Seleccione Inicio>Ejecutar, escriba “mmc” y pulse Aceptar. 

Seleccione Archivo>Agregar o quitar complemento. 

Pulse el botón Agregar. 

Seleccione Plantillas de seguridad y pulse Agregar y a continuación Cerrar. Pulse 
Aceptar. 

Colgando del nodo Plantillas de seguridad aparece la carpeta donde se almacenan 
las plantillas de seguridad predefinidas. Si selecciona cualquiera de ellas, se desple- 
garán los nodos correspondientes a las áreas de seguridad definidas en la Tabla 5.2. 
Pulsando sobre cada uno, puede acceder a la configuración que esa plantilla realiza 
para esas áreas. Si desea cambiarlas, en lugar de cambiar las plantillas predefinidas 
se le recomienda que cree una plantilla nueva como copia de una predefinida y pro- 
ceda con las modificaciones sobre la copia. 


Para establecer o modificar opciones de configuración de seguridad en equipos indivi- 
duales, utilice la directiva de seguridad local. Para definir la configuración de seguridad que 
se exige en un número cualquiera de equipos, utilice el complemento Configuración de 
seguridad de Directiva de grupo. Para aplicar varias opciones de configuración en un lote, 
utilice Plantillas de seguridad con el fin de definir la configuración y, a continuación, apli- 
que esa configuración mediante Configuración y análisis de seguridad o Secedit.exe (expli- 
cados a continuación), o bien importe la plantilla que contiene la configuración en Directiva 
local o Directiva de grupo. 

Si utiliza las guías de seguridad listadas en la Tabla 5.1 encontrará numerosas plantillas 
de seguridad que podrá importar en su Directiva de grupo o local. 
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Configuración y análisis de seguridad de Windows XP 


El complemento Configuración y análisis de seguridad sirve para detectar potenciales vulne- 

rabilidades o violaciones de la directiva de seguridad de un equipo determinado. Como ya se 

ha visto, Windows XP/2000/2003 incluyen una serie de plantillas de seguridad predefinidas 

en la carpeta C:\Windows\security\templates. Este complemento permite analizar el nivel de 

cumplimiento de la configuración actual de un equipo con la configuración almacenada en 

una base de datos, la cual se rellena con la información de las plantillas. (Véase Figura 5.5.) 
Para ejecutar Configuración y análisis de seguridad en un equipo aislado: 


E YN 


Seleccione Inicio>Ejecutar, escriba “mmc” y pulse Aceptar. 

Seleccione Archivo>Agregar o quitar complemento. 

Pulse el botón Agregar. 

Seleccione Configuración y análisis de seguridad y pulse Agregar y a continua- 
ción Cerrar. Pulse Aceptar. 

Para crear una base de datos nueva, haga clic con el botón secundario del ratón sobre 
el nodo Configuración y análisis de seguridad y seleccione Abrir base de datos. 
Escriba un nombre para la base de datos y pulse el botón Abrir. 

A continuación seleccione una plantilla de seguridad y pulse Abrir. 

Haga clic con el botón secundario del ratón sobre el nodo Configuración y análisis 
de seguridad y seleccione Analizar el equipo ahora. 

Cuando el análisis haya terminado, seleccione cualquiera de los nodos y en el panel 
de la derecha aparecerán tres columnas informándole del estado de seguridad del 
equipo en relación con las plantillas seleccionadas en la base de datos. 

S1 desea que su sistema se actualice en función de la información de seguridad con- 
tenida en la base de datos seleccionada, entonces haga clic con el botón secundario 
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Figura 5.5. Configuración y análisis de la seguridad de un equipo. 
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del ratón sobre el nodo Configuración y análisis de seguridad y seleccione Confi- 
gurar el equipo ahora. 


ee Sise arrepiente después de haber aplicado plantillas de seguridad, siempre puede volver a la configu- 
ración predeterminada. Existe una plantilla predefinida llamada Setup security.inf. Siempre se puede 
utilizar esta plantilla o alguna de sus partes para la recuperación de desastres. 


Existe una herramienta de línea de comandos llamada secedit que también sirve para 
analizar la seguridad del sistema. Su sintaxis es: 


secedit /analyze /DB Archivo [/CFG Archivo ] [/log RutaRegistro][/quiet] 


Para ver todas las opciones de este comando, escriba en el símbolo del sistema: 


secedit /? 


Su mayor utilidad reside en su capacidad de ser llamada desde un archivo de proceso por 
lotes (.bat) o desde un programador automático de tareas con el fin de utilizarla para crear y 
aplicar plantillas automáticamente y analizar la seguridad del sistema. 


Windows Scripting Host (WSH) 


Windows Script Host (WSH) es una herramienta de Windows que permite ejecutar potentes 
scripts escritos en Visual Basic. Algo parecido a lo que se hace con los archivos BAT, pero 
mucho más poderoso. La cuestión es que muy pocos usuarios utilizan el motor WSH en su 
trabajo habitual, mientras que sí es utilizado por gran cantidad de virus, especialmente los 
que se propagan a través del correo electrónico. Por tanto, si en su equipo, ya sea un cliente 
o un servidor, no utiliza WSH, conviene desactivarlo. 

Existen dos métodos: 


Destruir la asociación entre los archivos WSH y el motor, de manera que si se intenta 
ejecutar un script el sistema no sabrá qué programa debe invocar. Para ello, abra 
cualquier ventana del Explorador de Windows y seleccione Herramientas>Opciones 
de carpeta>Tipos de archivo. Localice los tipos de archivo JS, JSE, VBE, VBS y 
WSF y para cada uno de ellos pulse el botón Eliminar. Otra posibilidad para evitar 
que se ejecuten consiste en asociar las extensiones por ejemplo con el Bloc de notas, 
para lo cual debe pulsar el botón Cambiar y seleccionar el Bloc de notas en la lista 
de programas disponibles. 

§ Eliminar el motor de WSH del sistema. Se trata de un archivo llamado wscript.exe, 
localizado en la carpeta CAWindows|System32. Simplemente bórrelo. Esta opera- 
ción es más drástica que la anterior, así que póngala en práctica solamente si está 
seguro de que no se utiliza. 


Explorador de Windows 


De manera predeterminada el Explorador de Windows incorpora algunas opciones nada 
deseables, como ocultar las extensiones de archivos conocidos o su nombre completo. Con- 
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viene realizar algunos ajustes relevantes desde el punto de vista de seguridad sobre las opcio- 
nes de las carpetas. 


1. Abra una ventana del Explorador de Windows, seleccione Herramientas>Opciones 
de carpeta>Ver. 

2. Seleccione la opción Mostrar todos los archivos y carpetas ocultos. 

3. Verifique la casilla Mostrar el contenido de las carpetas de sistema. 

4. Verifique la casilla Mostrar con otro color los archivos NTFS comprimidos o ci- 


frados. 

5. Verifique la casilla Ocultar archivos protegidos del sistema operativo (recomen- 
dado). 

6. Deshabilite la casilla Ocultar las extensiones de archivo para tipos de archivo 
conocidos. 


7. Deshabilite la casilla Utilizar uso compartido simple de archivos (recomendado). 


A pesar de deshabilitar la casilla Ocultar las extensiones de archivo para tipos de 
archivo conocidos, algunas extensiones siguen sin mostrarse, como .Ink, vulnerabilidad 
explotada durante años por los atacantes. Puede conseguirse que todas las extensiones se 
muestren mediante unos sencillos ajustes en el Registro. 


Seleccione Inicio>Ejecutar. 

Escriba “regedit” y pulse Aceptar. 

Una vez abierto el Registro, haga clic sobre Mi PC y seleccione Edición>Buscar. 
Desactive las casillas Claves y Datos, escriba “NeverShowExt” (sin las comillas) en 
el campo Buscar y pulse Buscar siguiente. 

5. Cada vez que aparezca el valor, bórrelo y pulse F3 para encontrar el siguiente, así 
hasta que no queden más. 


As 


Mantenerse seguro 


Una cosa es crear un entorno que resulta inicialmente seguro y otra bien distinta mantenerlo 
seguro a lo largo del tiempo. Nunca se puede uno recostar sobre la silla con los pies encima 
de la mesa y las manos cruzadas tras la cabeza, pensando: “Ya está. He seguido todas las 
recomendaciones de tal o cual libro. Ya estoy seguro”. La seguridad puede durar lo que tarda 
en aparecer un nuevo agujero de seguridad o lo que tarda un hacker en descubrir un cortafuegos 
mal configurado o lo que tarda un empleado en cambiar su contraseña. Nunca se está seguro. 
Hay que mantenerse continuamente alerta: parchear, auditar, informarse, evaluar,... Nunca 
se descansa, nunca se llega. Cambian las expectativas y objetivos de seguridad, cambian los 
activos de información a proteger, cambian las amenazas frente a las cuales protegerlos. Por 
muy cerca que parezca estar la meta, siempre se aleja un poco más allá. Recuerde: 


La seguridad es un proceso, nunca un estado ni un producto. 


A continuación se explican los procedimientos que deben seguirse para mantener vivo el 
proceso de la seguridad. 


Configuración y revisión de rastros de auditoría 


Los rastros de auditoría no previenen ataques. Sin embargo, constituyen una herramienta 
inestimable para detectar ataques en curso o para investigar el proceso seguido por un intru- 
so cuando el ataque ya ha tenido lugar. Los rastros de auditoría encuentran otro importante 
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campo de aplicación en la responsabilidad de las acciones de los usuarios legítimos: se regis- 
tra lo que hace cada uno, de manera que deba responder de sus acciones. 

Sin una política de auditoría, se está ciego y sordo: no hay manera de saber qué ha pasado 
ni por dónde han atacado ni qué han hecho los usuarios. En la sección “Registros de auditoría 
de sistemas” se presta atención a este aspecto. De todas formas, no debe activarse el registro 
de actividad porque sí, sino solamente cuando algún objetivo de seguridad planteado lo 
exija. La auditoría puede sobrecargar considerablemente al sistema y resultar contraprodu- 
cente si no se utiliza racionalmente. 


Woy La recopilación de rastros de auditoría puede entrar en conflicto con la legislación aplicable en materia 
de protección de la privacidad de los usuarios y de sus datos laborales. 


Gestión de parches y actualizaciones de seguridad 


Cada día se descubren nuevas vulnerabilidades en sistemas operativos y aplicaciones. Man- 
tener el sistema actualizado con los últimos parches de seguridad resulta fundamental para 
minimizar los riesgos. 

Piense si no en los siguientes sucesos: los famosos gusanos Nimda y Code Red atacaban 
servidores IIS utilizando vulnerabilidades para las cuales ya existían parches, para algunas 
incluso desde hacía un año. En otras palabras, los millones de servidores IIS afectados no se 
habían parcheado en todo ese tiempo. No se trata de echar la culpa a los administradores, ya 
que el agujero era de Microsoft, sino de resaltar la importancia de mantenerse al día en la 
aplicación de parches precisamente para evitar ser atacado con éxito a través de la explota- 
ción de vulnerabilidades para las que ya existía solución. Tristemente, la mayor parte de 
ataques a gran escala perpetrados contra servidores, ya sea por hackers o gusanos, explotan 
vulnerabilidades para las que existía parche con semanas o meses de anticipación. Estar al 
día con las actualizaciones de seguridad no garantiza la seguridad, pero lo cierto es que la 
inseguridad está garantizada si no se parchea a la última. Por consiguiente, la aplicación 
rápida y consistente de los parches de seguridad en los equipos de la empresa, da igual si es 
pequeña, mediana o grande o si se trata de un mero particular, debe constituir un punto 
capital de la política de seguridad. 

Microsoft suele publicar tres tipos diferentes de actualizaciones: 


Service packs: Incluyen actualizaciones y mejoras del sistema operativo. Contienen 
todos los hotfixes publicados hasta el momento de cierre del Service Pack. Téngase 
muy en cuenta que el cierre sucede con anterioridad a la publicación del Service 
Pack, a veces incluso meses. En otras palabras, si en agosto se produce un incidente 
grave de seguridad y se publica un Service Pack en septiembre, lo más probable es 
que no contenga el hotfix para dicho incidente. 

Hotfixes: Se trata de parches de seguridad publicados rápidamente tras la incidencia. 
Tras la adopción de la nueva política de seguridad de Microsoft, duramente criticada 
en amplios sectores de seguridad, estos hotfixes se publican una vez al mes, lo que 
aumenta desmesuradamente la ventana de tiempo desde que una vulnerabilidad es 
de dominio público hasta que se publica el parche y los usuarios se actualizan. Su- 
puestamente esta distribución mensual de los parches el segundo martes de cada mes 
ayuda a los administradores y usuarios a planificar sus actualizaciones. 

8  Rollups: Se trata de un conjunto de los últimos hotfixes en un solo paquete. 


D> 


Cuando Microsoft publica un Service Pack, hotfix o rollup, se debería seguir un proceso 
de gestión de actualizaciones, esquematizado en la Figura 5.6, que suele subdividirse en 
cuatro fases: 
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Figura 5.6. Proceso de gestión de actualizaciones. 


1. Evaluar: El primer paso consiste en inventariar cuáles son los activos informáticos 
(servidores y puestos de trabajo, su sistema operativo, aplicaciones que ejecutan y su 
versión, infraestructura de red), evaluar las amenazas de seguridad y vulnerabilida- 
des a los que están expuestos, determinar cuál es la mejor fuente de información 
sobre actualizaciones de software (listas de correo, sitios Web, seminarios, etc.), eva- 
luar la infraestructura de distribución de software existente y su efectividad operativa. 
En esta fase resultan de gran utilidad herramientas de auditoría como MBSA y Nessus, 
comentadas más adelante en esta misma sección. 

2. Identificar: El segundo paso tiene como objetivo identificar fuentes fiables de actua- 
lizaciones de seguridad, determinar si esas actualizaciones son relevantes para el 
entorno de producción, lo cual dependerá de su nivel de criticidad, los cuales se 
listan en la Tabla 5.4, obtener los archivos con la actualización, confirmándose que 
son seguros (por ejemplo, libre de virus o troyanos) y que se instalarán sin proble- 
mas, y, por último, decidir la urgencia del cambio en producción. 

3. Decidir y planificar: En esta fase debe decidirse si realizar la actualización realmente 
beneficiará a la organización y en caso afirmativo debe planificarse su despliegue en 
el entorno de producción. Una persona debe ser responsable de la actualización de 
software. Primero se instala en un entorno de pruebas y se realizan las comprobacio- 
nes necesarias para asegurarse de que no comprometerá el funcionamiento de las 
aplicaciones en producción. 

4. Desplegar: La última fase se concentra en las actividades requeridas para desplegar 
la actualización de software en el entorno de producción. Primero se prepara el en- 
torno, se realiza el despliegue y se verifica que la operación se ha realizado correcta- 
mente y el funcionamiento normal no se ha visto afectado. 


Habida cuenta de la laboriosidad que supone actualizar los equipos, especialmente en 
organizaciones con cientos de ellos, los administradores se ven confrontados con grandes 
desafíos a la hora de implantar una estrategia de gestión de actualizaciones eficaz. Micro- 
soft pone a disposición de sus clientes las siguientes herramientas para gestión de actualiza- 
ciones: 


Windows Update. 
A Windows Update Services (WUS). 
S Systems Management Server (SMS). 
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Windows Update 


Se trata de un servicio online para la descarga de actualizaciones de software y de controladores 
de hardware. Se conecta al sitio Web de Microsoft e informa al usuario de todas las nuevas 
actualizaciones disponibles desde la última vez que se actualizó. Para conectarse a Windows 
Update: 


1. Seleccione Inicio>Ayuda y soporte técnico. 

2. Bajo el grupo Elegir una tarea, seleccione Mantenga actualizado su equipo con 
Windows Update. Se requieren permisos administrativos para poder actualizar el 
equipo, por lo que deberá iniciar sesión como administrador o como un miembro del 
grupo Administradores. 

3. Windows Update busca la versión más reciente del software, por lo que la primera 
vez que lo ejecuta posiblemente aparezca una advertencia de seguridad solicitando 
permiso para instalar y ejecutar el control ActiveX llamado Windows Update. Diga 
que sí. 

4. Pulse en Buscar actualizaciones. Comienza el proceso de escaneo, cuyo resultado le 
informa de las nuevas actualizaciones críticas de Windows disponibles para su des- 
carga. (Véase Figura 5.7.) 

5. Pulse en Comprobar e instalar actualizaciones. Aparece una lista con el nombre y 
descripción de las actualizaciones que se está a punto de instalar. Si desea eliminar 
algún elemento de la lista, pulse su botón Quitar. 

6. Cuando haya revisado las actualizaciones y dejado las que le interese, pulse el botón 
Instalar ahora. Windows Update comenzará a descargar las actualizaciones que se 
instalarán en su equipo. En función del número y tamaño de estas actualizaciones y 
de la velocidad de su conexión a Internet, la descarga tardará más o menos tiempo. 

7. Cuando la descarga haya finalizado, dará comienzo automáticamente el proceso de 
instalación de todas las actualizaciones descargadas, que se tomará un tiempo varia- 
ble. Al término de la misma, se le preguntará si desea reiniciar el equipo. Con esta 
pregunta se puede dar por terminado el proceso de actualización de seguridad. 

8. Si lo desea, puede además instalar las actualizaciones de Windows XP y de 
controladores de dispositivos que no son críticas para la seguridad de su sistema, 
pero que según el caso pueden mejorar su funcionalidad. 


Para asegurarse de que nunca se olvida de instalar una actualización, puede servirse de 
las Actualizaciones automáticas. Windows puede buscar automáticamente las actualizacio- 
nes que necesita en su equipo, descargarlas e instalarlas, todo ello sin necesidad de interven- 
ción del usuario. Windows detecta si está en línea y usa la conexión a Internet para buscar 
descargas desde el sitio Web de Windows Update. Aparecerá un icono en el área de notifica- 
ción cada vez que haya nuevas actualizaciones disponibles.(Véase Figura 5.8.) 

Es posible especificar cómo y cuándo desea que Windows actualice el equipo. Por ejem- 
plo, puede configurar Windows para que descargue e instale actualizaciones automática- 
mente según la programación especificada. O puede elegir que Windows le notifique si 
encuentra actualizaciones disponibles para el equipo; a continuación, las descargará en se- 
gundo plano, permitiéndole seguir trabajando sin interrupciones. Una vez finalizada la des- 
carga, aparecerá un icono en el área de notificación con un mensaje donde se informa que las 
actualizaciones están preparadas para su instalación. Cuando haga clic en el icono o el 
mensaje, podrá instalar las nuevas actualizaciones con pocos pasos sencillos. 

Si decide no instalar una actualización específica que ya ha descargado, Windows elimi- 
na sus archivos correspondientes del equipo. Si cambia de opinión posteriormente, puede 
descargarla de nuevo: 
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Figura 5.7. Windows Update informa de las nuevas actualizaciones disponibles y 
permite descargarlas e instalarlas. 


1. Seleccione Inicio>Panel de control. 

2. Haga doble clic sobre Sistema y seleccione la pestaña Actualizaciones automáticas. 

3. Pulse el botón Actualizaciones declinadas. Si algunas de las actualizaciones rechaza- 
das anteriormente aún son aplicables al equipo, aparecerán la próxima vez que Win- 
dows le notifique la existencia de actualizaciones disponibles. (Véase Figura 5.9.) 


Windows Update Services (WUS) 


Windows Update Services (WUS) es el nuevo nombre para la próxima versión de Software 
Update Services (SUS) 2.0. Incluye un componente cliente y otro servidor. El cliente se 


J) Manténgase al dia con las actualizaciones automáticas x|| 


Haga clic aquí para aprender más acerca de córno mantener su equipo 
actualizado automáticamente con descargas importantes desde Windows 


Update. 





Figura 5.8. Un icono en el área de notificación le informa de las nuevas actualizaciones 
de seguridad. 
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Figura 5.9. Actualización automática de Windows. 


ejecuta en plataformas Windows XP/2000/2003, mientras que el servidor sólo se ejecuta en 
Windows 2000/2003. Se planea que esté disponible a finales de 2004. Mientras tanto, se 
puede seguir utilizando la herramienta SUS para gestión de parches y actualizaciones, ofre- 
ciendo los mismos servicios de Windows Update, pero con muchas ventajas: 


SUS permite aprobar cada actualización de software antes de instalarla. De esta ma- 
nera se puede realizar la actualización en fases para evitar problemas en servidores 
en producción. 

A Los clientes SUS pueden descargar las actualizaciones automáticamente desde el 
servidor SUS, al estilo de las Actualizaciones automáticas presentadas en la sección 
anterior, pero ahorrándose ancho de banda: el servidor SUS descarga las actualiza- 
ciones por Internet en vez de tener que hacerlo cada uno de los clientes. 

8 Se pueden copiar las actualizaciones a un CD y utilizar éste en un servidor SUS para 
distribuir las actualizaciones en una red sin conectividad exterior. 


Como mejoras sobre SUS, WUS permitirá actualizar todos los productos de Windows, no 
sólo los sistemas operativos, así como la posibilidad de desinstalar actualizaciones. Se puede 
obtener más información sobre WUS y SUS, así como descargarlos gratuitamente, en 
www.microsoft.com/sus. 


Systems Management Server (SMS) 2003 


Systems Management Server (SMS) 2003 es una herramienta para la gestión de cambios y 
configuraciones en plataformas Windows, permitiendo la distribución de software y actuali- 
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zaciones entre los usuarios de una organización de manera rápida y económica. SMS 2003 
ofrece las siguientes características: 


Despliegue de aplicaciones: Sus detallados informes ayudan a planificar el desplie- 
gue de aplicaciones en el momento justo en el sitio adecuado. 


Â Gestión de activos: Ayuda a controlar qué aplicaciones utiliza cada usuario en cada 
equipo, permite inventariar hasta el nivel de archivo el software instalado, así como 
el hardware de la organización, todo ello con un conjunto completo de informes, 

_ también en formato Web. 

A Gestión de parches de seguridad: Incorpora herramientas como MBSA para identifi- 


cación de vulnerabilidades, así como un asistente para el despliegue de parches y 
evaluación de la necesidad de los mismos en función de la criticidad de las vulnera- 
bilidades descubiertas. 

A Movilidad: Permite reconfigurar las tasas de transferencia hacia los clientes en fun- 
ción de su ancho de banda. Si las descargas se cortan, permite reiniciarlas allí donde 
se interrumpieron. Las descargas se almacenan en el caché del cliente hasta que llegue 
el momento planificado para instalarlas. Si los clientes cambian frecuentemente de 
ubicación geográfica, recibirán actualizaciones de la fuente más cercana a ellos. 

8 Integración con los servicios de gestión de Windows: Utiliza las capacidades de ges- 
tión incorporadas por defecto en la plataforma Windows para reducir los costes de 
operación, como directorio activo, asistencia remota, etc. 


Para su funcionamiento, requiere un servidor Windows 2000/2003 con IIS y un servidor de 
base de datos SQL Server. El cliente puede ser Windows 98/XP/2000/2003. Se puede encontrar 
más información sobre este producto de pago de Microsoft en www.microsoft.com/smserver. 


¿Cuál elegir? 


Si duda entre cuál de estas tres soluciones de gestión de actualizaciones le conviene, tal vez 
la página www.microsoft.com/windowsserversystem/sus/suschoosing.mspx pueda ayudarle. 
En la Tabla 5.3 se ofrece una simplificación, que puede ayudarle a decidir. 


Herramientas automatizadas de auditoría y detección de vulnerabilidades 


Para saber en todo momento qué vulnerabilidades se posee y por tanto es necesario parchear, 
conviene contar con herramientas automatizadas de auditoría y detección de vulnerabilida- 
des. Microsoft proporciona una herramienta gratuita para los productos de su plataforma, 
llamada MBSA. Para entornos más heterogéneos, donde pueden coexistir diferentes plata- 
formas, conviene utilizar una herramienta más general como Nessus. Ambas se tratan a 
continuación. 


Tabla 5.3. ¿Qué herramienta de gestión automatizada de actualizaciones necesito? 


Tipo de cliente Opciones apropiadas 
Organización mediana o grande SMS 2003 

WUS 
Organización pequeña WUS 

Windows Update 


Particular Windows Update 
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MBSA 


Microsoft Baseline Security Analyzer (MBSA) es una herramienta para Windows XP/2000/ 
2003 distribuida gratuitamente por Microsoft (www.microsoft.com/mbsa) con el fin de ayu- 
dar a sus clientes a identificar errores de configuración de seguridad en sus equipos. Cumple 
dos propósitos: en primer lugar, escanear el equipo local o los equipos de la red en busca de 
vulnerabilidades; en segundo lugar, detectar la disponibilidad de parches de seguridad pu- 
blicados por Microsoft. La versión 1.2 de MBSA escanea las siguientes aplicaciones: 


Windows 2000 

Windows XP 

Windows NT 4.0 and higher (remote scan only) 

Windows Server 2003 

Internet Explorer 5.01 and later 

Windows Media Player 6.4 and later 

IIS 4.0, 5.0, 5.1, and 6.0 

SQL Server 7.0 and 2000 (including Microsoft Data Engine) 
Exchange 5.5 and 2000 (including Exchange Admin Tools) 
Exchange Server 2003 

Microsoft Office (local scan only; see list of products) 
Microsoft Virtual Machine 

MSXML 2.5, 2.6, 3.0, and 4.0 

BizTalk Server 2000, 2002, and 2004 

Commerce Server 2000 and 2002 

Content Management Server (CMS) 2001 and 2002 

Host Integration Server (HIS) 2000, 2004, and SNA Server 4.0 


a D D D D D D D D D D D D D D D 


Los lectores familiarizados con la herramienta HFNetChk pueden abandonar ésta en 
beneficio de MBSA. Mientras que HFNetChk solamente escanea el equipo o la red en busca 
de actualizaciones de seguridad y service packs, MBSA proporciona un interfaz gráfico y 
otras muchas características. (Véase Figura 5.10.) 


Veo] Silos equipos en los que quiere ejecutar MBSA no disponen de conexión a Internet, puede descargar 
el archivo mssecure.cab (go.microsoft.com/fwlink/?Linkld=18922) utilizado por MBSA para las com- 
probaciones y copiarlo en el directorio de instalación de MBSA y realizar el análisis desconectado. 


Nessus 


Nessus es un potente escáner remoto de vulnerabilidades, continuamente actualizado y gra- 
tuito. Permite escanear redes remotamente para determinar la existencia de vulnerabilidades 
conocidas que podrían ser explotadas por un intruso. Una de sus características más destaca- 
das es su tecnología cliente/servidor. Los servidores pueden ubicarse en diferentes puntos 
estratégicos de una red, de manera que las pruebas puedan realizarse desde diferentes puntos 
de vista. Los servidores pueden controlarse desde un cliente central o desde varios clientes 
distribuidos. 

El servidor Nessus realiza los escaneos, mientras que el cliente proporciona la fun- 
cionalidad de configuración e informes. Se debe ser cauteloso con las pruebas que se realizan 
con Nessus en sistemas en producción, ya que algunos de los plug-in más agresivos podrían 
dejarlos fuera de servicio. La parte servidor de Nessus se ejecuta sobre la mayoría de plata- 
formas Unix, mientras que los clientes están disponibles tanto para Windows como para 
Unix. El lugar donde acudir para encontrar información sobre Nessus es WWw.nessus.org. 
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Figura 5.10. Resultado del escaneo de un equipo utilizando MBSA. 


Existe una versión del servidor Nessus que también funciona para Windows, llamada NeWT 
(www.tenablesecurity.com/newt.html). (Véase Figura 5.11.) 


Información sobre agujeros de seguridad 


Es muy importante mantenerse siempre informado acerca de las últimas vulnerabilidades de 
seguridad. Por lo general, la publicación de vulnerabilidades no se produce hasta que la 
empresa cuyo software se ha visto afectado ha publicado el parche para corregirla. Estas 
vulnerabilidades tienen un impacto variable. Sus diferentes niveles de criticidad aparecen 
listados en la Tabla 5.4. A continuación se enumeran los mejores lugares donde mantenerse 
siempre informado a la última. 


El primer lugar al que deben suscribirse los administradores de redes Microsoft es al 
propio servicio de alertas de seguridad de Microsoft en www.microsoft.com/technet/ 
security/current.aspx. 


Â Una de las mejores listas sobre vulnerabilidades relacionadas con productos Micro- 
soft es NTBugtraq (www.ntbugtraq.com). 

A El lugar más omnicomprensivo de Internet, que trata todo tipo de plataformas y de 
aplicaciones, de todo tipo de fabricantes, es SecurityFocus (www.securityfocus.com). 
A Symantec DeepSight Threat Management System (www.symantec.com). 

S Además, cada fabricante suele mantener su propio servicio de alertas de seguridad 


relacionadas con sus productos. Asegúrese de estar suscrito a los boletines de seguri- 
dad de los fabricantes de todos los productos desplegados en su organización. 
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The host SID could be used to enumerate the names of the local users 
of this host. 
(we only enumerated users name whose ID is between 1000 and 1020 
for performance reasons) 
This gives extra knowledge to an attacker, which 
is not a good thing : 
- Administrator account name : Administrator (id 500) 
- Guest account name : Guest (id 501) 
- TsinternetUser (id 1000) 
- Netshowservices (id 1001) 
- NetShow Administrators (id 1002) 
A - lUSR_GABBO (id 1003) 
- 1WAM_GABBO (id 1004) 
- DHCP Users (id 1005) 
- DHCP Administrators (id 1006) 
- WINS Users (id 1007) 











Risk factor : Medium 
solution : filter incoming connections this port 


CWE : CVE-2000-1200 
BID : 959 


The host SID can be obtained remotely. Its value is : 
GABBO : 5-21-642925246-1563905344-2146061395 


An attacker can use itto obtain the list of the local users of this host 
A Solution : filter the ports 137 to 139 and 445 


Save report... | Close window | 





Figura 5.11. 


Tabla 5.4. 


Nivel 


Crítico 


Importante 


Moderado 


Bajo 


Ventana de informe tras el escaneo de una red local utilizando Nessus. 


Niveles de criticidad de las vulnerabilidades de seguridad según Microsoft. 
Definición 


Una vulnerabilidad cuya explotación podría permitir la propagación 
de un gusano/virus de Internet sin la implicación del usuario. 

Una vulnerabilidad cuya explotación podría resultar en el 
compromiso de la confidencialidad, integridad o disponibilidad de los 
datos de los usuarios, o de la integridad o disponibilidad de los 
recursos de procesamiento. 

La posibilidad de explotación viene mitigada por un número 
significativo de factores tales como configuración predeterminada, 
auditoría o dificultad de explotación. 

Una vulnerabilidad cuya explotación es extremadamente difícil o 
cuyo impacto es mínimo. 
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Auditorías periódicas 


Conviene contratar con una empresa de seguridad externa la realización de auditorías perió- 
dicas. Continuamente aparecen nuevas amenazas, por lo que la configuración que hoy resul- 
ta segura mañana puede ser insegura. Con el tiempo se van añadiendo nuevos servidores a la 
red, se instala nuevo software o se actualiza el antiguo, se prestan nuevos servicios, se recon- 
figura la red, crece el parque de equipos de usuarios, en definitiva, los sistemas informáticos 
y las amenazas a que se ven expuestos no permanecen estáticos, sino que cambian 
dinámicamente: cambian los riesgos, cambian los activos y cambian las expectativas de 
seguridad. Por estas razones, deben realizarse auditorías periódicas de la red, servidores, 
puestos de trabajo, en definitiva, de todo el sistema informático de la empresa. Es más ven- 
tajoso que las realice una empresa externa especializada y de reconocido prestigio, ya que de 
esta manera se asegura la imparcialidad y objetividad, a la vez que se asume una mayor 
solvencia técnica en una empresa cuya línea de negocio es precisamente la auditoría de 
seguridad. Consulte la sección “Servicios de seguridad gestionados” del Capítulo 1 para más 
información sobre la posibilidad de subcontratar servicios de seguridad gestionados a em- 
presas especializadas en seguridad informática. 


Fortalecimiento de red 


El punto de entrada remoto a un equipo es la red. Los pasos anteriores fortalecen el sistema 
operativo de servidores y puestos de trabajo, pero es importante no permitir ataques que 
provengan de la red. El fortalecimiento de la red implica asegurar los dispositivos de red y 
los datos que retransmiten. La infraestructura de red está compuesta fundamentalmente de 
routers, switches y cortafuegos. En el capítulo anterior se trató el uso de cortafuegos para 
proteger el perímetro y de redes privadas virtuales para proteger el acceso remoto a los 
equipos de la red interna, así como la segmentación de redes para aumentar su seguridad y la 
configuración segura de switches, routers y redes inalámbricas. En el siguiente, se cubrirá la 
detección de intrusos y la respuesta a incidentes. Por consiguiente, este capítulo no ahonda 
en ninguno de los temas mencionados, sino que se limita a descubrir algunas cuestiones de 
red que afectan directamente a los equipos por el mero hecho de estar conectados. 


Cortafuegos del sistema operativo 


Los sistemas operativos Windows XP/2000/2003 incorporan un rudimentario cortafuegos 
que puede considerar activar. El cortafuegos de XP ya fue discutido en profundidad en el 
capítulo anterior. En cuanto al filtrado de paquetes incorporado en Windows 2000/2003, la 
forma de configurarlo es la siguiente: 


1. Haga clic con el botón secundario del ratón sobre el icono Mis sitios de red del 
Escritorio y seleccione Propiedades. 


2. Haga doble clic sobre la conexión que desee proteger y pulse el botón Propiedades. 

3. Haga doble clic sobre Protocolo Internet (TCP/IP) y pulse el botón Avanzada. 

4. Seleccione la pestaña Opciones y haga doble clic sobre Filtrado TCP/IP. 

5. En Puertos TCP, seleccione la opción Permitir sólo. 

6. Para cada número de puerto que desee permitir, pulse el botón Agregar y escríbalo. 
Protocolos 


Deben deshabilitarse todos los protocolos innecesarios, como suele ser el caso de NetBIOS y 
SMB. Desde luego, ambos protocolos deben deshabilitarse siempre en el interfaz de red de 
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cara a Internet, ya que en caso contrario pueden permitir a un atacante enumerar equipos de 
la red. Esta enumeración puede obtenerse mediante herramientas incluidas en el propio 
sistema operativo, como net o nbtstat y otras desarrolladas por hackers para superar las 
limitaciones de las anteriores y disponibles públicamente, como nbtscan (www.inetcat.org/ 
software/nbtscan.html) o netviewx (www.1bt.ku.dk/jesper/NetViewX). 

Uno de los métodos preferidos por lo hackers para obtener información sobre una máqui- 
na es la denominada sesión nula (null session): 


[e AO AAC UA 


El comando anterior intenta conectarse al recurso compartido oculto IPCS$ en la dirección 
192.168.0.50 como el usuario anónimo con contraseña nula. Si la conexión tiene éxito, el 
intruso podrá realizar un gran número de ataques para recopilar tanta información como le 
sea posible sobre el objetivo del ataque: información de red, recursos compartidos, usuarios, 
grupos, claves del Registro, etc. Aunque no se entrará en los detalles de cómo realizar estos 
ataques de enumeración, se explica a continuación la manera de protegerse, consistente en: 


Deshabilitar NetBIOS sobre TCP/IP. 

Deshabilitar el servicio SMB. 

Restringir la conexión anónima. 

Desactivar la funcionalidad UPnP para dispositivos de red. 
Desactivar el escritorio remoto. 


a D D D> 


Norr Un equipo conectado a Internet nunca debe tener habilitados NetBlIOS y SMB. Si el equipo cuenta con 
varios interfaces de red, entonces deben deshabilitarse en el que está de cara a Internet. 


NetBIOS 


NetBIOS utiliza los siguientes puertos: 


_ Puerto TCP y UDP 137, para el servicio de nombres de NetBIOS. 
A Puerto TCP y UDP 138, para el servicio de datagramas de NetBIOS. 
8 Puerto TCP y UDP 139, para el servicio de sesión de NetBIOS. 


Para deshabilitar NetBIOS sobre TCP/IP: 


1. Seleccione Inicio>Todos los programas>Herramientas administrativas> Admi- 
nistración de equipos. Un atajo consiste en hacer clic con el botón secundario del 
ratón sobre el icono Mi PC del Escritorio y seleccionar Administrar. 

2. Haga clic sobre el nodo Herramientas del sistema>Administrador de dispositivos 
con el botón secundario del ratón y seleccione Ver>Mostrar dispositivos ocultos. 

3. Despliegue el nodo Controladores que no son Plug and Play. 

4. Haga clic sobre el nodo NetBios a través de Tepip con el botón secundario del ratón 
y seleccione Deshabilitar. 


SMB 


SMB utiliza los siguientes puertos: 


Puerto TCP 139. 
8 Puerto TCP 445. 
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Para deshabilitar SMB: 


1. Seleccione Inicio>Panel de contro>-Conexiones de red. Un camino alternativo con- 

siste en hacer clic con el botón secundario del ratón sobre el icono Mis sitios de red 

del Escritorio y seleccionar Propiedades. 

Haga doble clic sobre la conexión de cara a Internet. 

Seleccione la pestaña General y pulse el botón Propiedades. 

Desactive las casillas Cliente para redes Microsoft y Compartir impresoras y 

archivos para redes Microsoft. 

5. Si dispone de varias conexiones de cara a Internet, repita los pasos anteriores para 
cada una. 


a 


Restricción de la conexión anónima 


Con el fin de evitar la enumeración de información sensible a través de las sesiones nulas 
cuando no se puede deshabilitar SMB por razones políticas o técnicas, puede utilizarse un 
ajuste en el Registro. Esta modificación puede realizarse directamente sobre el Registro, 
estableciendo el valor de la clave HKKEY_LOCAL_ MACHINES YSTEMVCurrentControlSeti 
ControllLsalRestrictAnonymous a 0. Otra posibilidad más práctica para poder desplegarla 
en todos los equipos de un dominio consiste en crear una directiva de seguridad con el ajuste. 


UPnP 


Universal Plug and Play (UPnP) es una arquitectura de Windows XP que soporta la 
funcionalidad Plug and Play para dispositivos de red. La especificación UPnP está diseñada 
para simplificar la instalación y administración de dispositivos y servicios de red. UPnP 
realiza el descubrimiento y control de dispositivos y servicios a través de protocolos basados 
en estándares y sin necesidad de controladores (drivers). Los dispositivos UPnP pueden con- 
figurar automáticamente el direccionamiento de red, anunciar su presencia en una red y 
permitir el intercambio de descripciones de dispositivos y servicios. Un ordenador con XP 
puede actuar como punto central de descubrimiento y control de dispositivos a través de un 
interfaz Web. Un caso típico de utilización de UPnP es con un cortafuegos SOHO compatible 
para que abra puertos dinámicamente por ejemplo para permitir una comunicación mediante 
videoconferencia. 

A no ser que disponga de dispositivos UPnP en su red local, no habrá nadie con quien 
hablar. Por lo que ciertamente no existe necesidad de tener un servidor UPnP ejecutándose 
en su equipo, abriendo la posibilidad de ataques a su máquina. Este servidor queda a la 
escucha en el puerto TCP 5000 y en el puerto UDP 1900. De esta forma, resulta muy sencillo 
para un atacante escanear una red en busca de equipos con Windows XP. Por defecto, el 
servicio está instalado y ejecutándose, por lo que los hackers podrían probar contra su equipo 
vulnerabilidades conocidas u otras aún por descubrir. En el pasado, un agujero de desborda- 
miento de búfer podía conducir al compromiso remoto total de un equipo XP con UPnP 
ejecutándose, como se describe en el boletín de seguridad de Microsoft publicado en 
www.microsoft.com/technet/security/bulletin/MS01-059.asp 

Por estos motivos, el servicio UPnP debería desactivarse por defecto y activarse sólo 
cuando realmente sea necesario. La desactivación se puede realizar manualmente desde la 
herramienta de administración de equipos. 


1. Haga clic con el botón secundario del ratón sobre el icono Mi PC del escritorio y 
seleccione Administrar en el menú contextual. 
2. Expanda la rama Servicios y Aplicaciones y seleccione Servicios. 
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3. En el panel derecho busque Servicio de descubrimiento SSDP y seleccione 
Acción>Propiedades (o haga clic sobre él con el botón secundario del ratón y selec- 
cione Propiedades en el menú contextual). También puede hacer doble clic sobre él. 
En todos los casos se abre la ventana de propiedades del servicio. 

4. Enla ficha General, en la lista desplegable Tipo de inicio, seleccione Deshabilitado. 

A continuación, pulse el botón Detener. 

Pulse Aceptar. El servicio ha quedado detenido y la próxima vez que reinicie el 

sistema no se ejecutará. 


Dn 


S1 lo prefiere, puede utilizar un pequeño programa que realiza la tarea por usted, llamado 
UnPlug n” Pray (Desenchufa y reza). Puede descargarse desde grc.com/unpnp/unpnp.htm. 


Escritorio remoto 


Gracias al escritorio remoto de Windows XP, se puede utilizar un ordenador conectado a 
Internet desde cualquier lugar como si se estuviera sentado delante. Salvo en la velocidad, no 
se apreciará ninguna diferencia entre sentarse físicamente ante dicho equipo o conectarse a 
él a través de Internet. 

Evidentemente, esta funcionalidad abre una nueva vía de ataques remotos que intenten 
adivinar contraseñas de cuentas conocidas. Si se desea permitir el uso del escritorio remoto, 
debe combinarse con otras muchas defensas, como cortafuegos y redes privadas virtuales, 
discutidas en el capítulo anterior. Si se desea desactivar el escritorio remoto porque no se 
dispone de cortafuegos ni VPN o por cualquier otro motivo, entonces: 


1. Haga clic con el botón secundario del ratón sobre el icono Mi PC del escritorio y 
seleccione Propiedades en el menú contextual. 

2. Seleccione la pestaña Acceso remoto y desactive la casilla Permitir a los usuarios 
conectarse remotamente a este equipo. 


Fortalecimiento de la pila TCP/IP 


Se puede fortalecer la pila TCP/IP de los equipos con el fin de impedir ciertos ataques de 
denegación de servicio (DoS). En una red bien configurada, debería ser el cortafuegos 
perimetral el responsable de bloquear estos ataques. En cualquier caso, por si no puede 
permitirse un cortafuegos o está expuesto a este tipo de ataques desde el interior, se listan a 
continuación las configuraciones que pueden implantarse para aumentar la robustez de 
la pila. 

Se puede encontrar una completa guía sobre los detalles de implementación de la pila 
TCP/IP en Windows 2000 en www.microsoft.com/technet/1tsolutions/network/deploy/depovg/ 
tcpip2k.mspx. Si no desea manipular manualmente el Registro de Windows, puede utilizar 
la herramienta gratuita HardTCP (www.securitywireless.info/download/hardtcp.exe). 


Protección contra ataques SYN 


Bajo la clave del Registro HKEY_LOCAL_MACHINEISSYSTEMVCurrentControlSet 
Services, puede realizar los ajustes recogidos en la Tabla 5.5. 


Protección contra ataques ICMP 


Bajo la clave del Registro HKLMiSystemCurrentControlSetiServicel AFD Parameters, asigne 
el valor O a Enablel CMPRedirect. 
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Tabla 5.5. Valores recomendados para prevenir ataques de inundación SYN. 
Nombre del valor Valor recomendado 
SynAttackProtect 2 
TcpMaxPortsExhausted 5 

TcpMaxHalfOpen 500 
TcpMaxHalfOpenRetried 400 
TcpMaxConnectResponseRetransmissions 2 
TcpMaxDataRetransmissions 2 

EnablePMTU Discovery 0 

KeepAliveTime 300000 (5 minutos) 
NoNameReleaseOnDemand l 


Protección contra ataques SNMP 


Bajo la clave del Registro HKLM\System\CurrentControlSet\Services\Tcepip\Parameters, asig- 
ne el valor 0 a EnableDeadGW Detect. 


Fortalecimiento de aplicaciones 


Por muy segura que sea la configuración del sistema operativo y de la red, si las aplicaciones 
que se ejecutan en los equipos están pobremente diseñadas o mal configuradas, se creará una 
nueva superficie de ataque. En esta sección se explica cómo reducir esta superficie, tanto en 
los servidores como en los puestos de trabajo. En lo que sigue, se asume que se ha realizado 
el fortalecimiento de sistema operativo y de red mencionado en los dos apartados anteriores, 
en la medida en que resulte necesario según las expectativas y contexto de seguridad de la 
organización. 


Aplicaciones de servidor 


Cuando se adopta la estrategia de defensa en profundidad (defense-in-depth) ilustrada en la 
Figura 1.10, uno de los objetivos clave de la política de seguridad consiste en proteger los 
servidores. 

En primer lugar se explican cuáles son las amenazas más graves a que están expuestos y 
la manera de proteger los tipos de servidor más frecuentes en el entorno SOHO (Small Office/ 
Home Office). 


Riesgos de los servidores 


¿Cómo hacen los hackers para atacar un servidor? ¿Cómo consiguen penetrar y tomar con- 
trol del servidor? ¿Cuál es la vía de entrada? No hay magia en el hacking, aunque sí tesón y 
conocimiento. El intruso puede servirse de un error en el software de la aplicación que está 
ejecutándose en el servidor: por ejemplo, un error en IIS en un servidor Web o un error de 
SQL Server en un servidor de base de datos; o la aplicación puede estar mal configurada; o 
utilizar criptografía débil. 

En cualquiera de los casos, se ha producido una vulnerabilidad que puede ser explotada 
con éxito por un atacante. A continuación, se listan algunos de los caminos más frecuente- 
mente seguidos por los hackers para atacar un servidor. 
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Errores de aplicación 


Por ejemplo, en el caso de los servidores Web, además del software del servidor, tal como IIS, 
Apache, 1Planet, etc., existe una aplicación diseñada o subcontratada por la propia organiza- 
ción, a base de páginas ASP, o JSP, o PHP, o Perl, o lo que sea, en función del lenguaje 
elegido. Estos errores de aplicación no dependen por tanto del software del servidor, sino que 
son introducidos por los propios desarrolladores de la organización. Los más frecuentes son 
el Cross-Site Scripting, la inyección de SQL y la mala gestión de excepciones. 


Cross-Site Scripting (XSS): Se trata del proceso de inserción de código JavaScript 
dentro de páginas enviadas por otra fuente, pero dentro del contexto de seguridad de 
la página original. El XSS permite a un atacante introducir código ejecutable arbi- 
trario dentro de la sesión Web de otro usuario. Una vez que el código se ejecuta, lo 
hace dentro del contexto de seguridad de la página Web visitada, pudiendo realizar 
una gran variedad de acciones, desde monitorizar la sesión Web del usuario hasta 
robarle sus cookies. Esta vulnerabilidad viene provocada por una pobre validación 
de los datos de entrada y salida por parte de la aplicación. 

A Inyección de SQL: Una pobre validación de la entrada a una página dinámica (ASP, 
JSP, PHP, etc.) puede conducir a la ejecución de sentencias arbitrarias de SQL en la 
base de datos del back-end. Dependiendo de la configuración de la base de datos, 
puede llegarse incluso a la ejecución de procedimientos almacenados extendidos o 
paquetes PL/SQL que permiten ejecutar comandos arbitrarios del sistema operativo 
con privilegios de administrador. Esta técnica se conoce como “inyección de SQL”. 
Al igual que en el caso anterior, se produce por una pobre validación de la entrada y 
una programación deficiente dentro de las páginas dinámicas de las llamadas a la 
base de datos. 

S Mensajes de error: El atacante siempre intenta manipular parámetros y cabeceras 
con la esperanza de provocar errores. Los mensajes de error detallados proporcionan 
demasiada información al atacante, que puede utilizarla para obtener datos sobre el 
funcionamiento de la aplicación Web. Resulta necesario gestionar adecuadamente 
estas excepciones, de manera que se proporcione al usuario mensajes de error signi- 
ficativos, amigables e inteligibles, mientras que se suministra información de diag- 
nóstico completa y útil al administrador del sitio, pero sin revelar ninguna información 
al atacante. 


Desbordamiento de búfer 


Los desbordamientos de búfer (buffer overflow) constituyen posiblemente la fuente más im- 
portante de agujeros de seguridad de las últimas décadas. La causa principal de los proble- 
mas de desbordamiento de búfer se encuentra en la falta de comprobación de la longitud de 
los argumentos de entrada cuando se pasan a rutinas escritas en ciertos lenguajes como C/ 
C++. Cuando un programa intenta escribir más allá de los límites de un búfer de memoria, 
se produce un desbordamiento. Leer o escribir más allá de los límites del búfer reservado 
puede causar una serie de comportamientos diversos: los programas pueden actuar de formas 
extrañas o fallar por completo. 

En el caso mejor, un desbordamiento de búfer puede interrumpir el servicio e incluso 
detener al servidor (ataque DoS). En el caso peor, permite la ejecución de código arbitrario 
con los mismos privilegios que el programa donde el error está presente. El desbordamiento 
de búfer representa el “enemigo público número 1”. 

Si bien para comprenderlos hace falta un conocimiento considerable de programación en 
ensamblador y en C y sobre la arquitectura de la máquina sobre la que ocurre, la idea del 
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desbordamiento de búfer se puede expresar muy sencillamente de la siguiente forma: un 
búfer se desborda cuando se intenta meter en él más cosas de las que caben en el espacio que 
tenía reservado. Se comprenderá mejor con un ejemplo real de programación en C en que se 
reproduce un desbordamiento tal: 


void funcívoid) 
( 
MPA 
char buffer[256]; 


Mia ll 
buffer[1]="A”; 


Se han reservado 256 caracteres para el búfer, pero luego se escriben en ese espacio 512, 
produciéndose el desbordamiento. A partir de ahí se origina una situación de excepción, que 
un hacker experto podría explotar para conseguir que el sistema ejecute su propio código: 
escribe varias líneas de código más allá del espacio reservado para el búfer, de manera que se 
corrompa la dirección de retorno de la rutina, alterándose por tanto el flujo de ejecución del 
programa. En la nueva dirección de retorno, el hacker dejará el código maligno que permita 
ejecutar comandos arbitrarios en el sistema atacado. 

Los desbordamientos de búfer afectan por igual a equipos servidores y clientes. Por este 
motivo constituyen una de las amenazas más serias en el mundo informático. Estos errores 
normalmente los introduce el software de aplicación como IIS, SQL Server, etc., y no la 
aplicación diseñada por la propia organización que se ejecuta sobre dicha plataforma. 

La protección contra estos errores debe comenzar en la adecuada formación y 
concienciación de los propios diseñadores y programadores, quienes deberían invertir gran- 
des esfuerzos en verificar todas las entradas para comprobar que no existen problemas de 
desbordamiento. El uso de técnicas de compilación como las proporcionadas por StackGuard 
(www.immunix.org/stackguard.html) pueden colaborar en este sentido. Desde el punto de 
vista del usuario de aplicaciones que utiliza un producto que puede esconder (y con toda 
seguridad lo hará) desbordamientos de búfer sobre los que no se posee ningún control, es 
poco lo que puede hacerse, salvo instalar productos de protección como Cisco Security Agent 
(www.cisco.es) o Panda TruPrevent (www.pandasoftware.es). 


Mala configuración 


Otra fuente común de vulnerabilidades procede de una mala configuración de la plataforma: 
permisos de acceso inadecuados a archivos y procesos, rutas de acceso por defecto a progra- 
mas y aplicaciones, usuarios predeterminados con contraseñas conocidas, servicios innece- 
sarios activos, aplicaciones de ejemplo con errores, etc. Muchas de estas configuraciones 
defectuosas están perfectamente documentadas y son generalmente conocidas, por lo que las 
herramientas automatizadas de exploración de vulnerabilidades las incorporan, permitien- 
do su rápida identificación. 


Tipos de servidores más comunes 


Normalmente, un particular o una pequeña empresa no poseen servidores dentro de su pro- 
pia organización. Si disponen de página Web y direcciones de correo con dominio propio, lo 
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más frecuente es que hayan contratado un servicio de hosting. Esta opción tiene la ventaja de 
transferir a la empresa de hosting toda la responsabilidad de bastionado, configuración segu- 
ra, actualización de parches y copias de seguridad. Ahora bien, tampoco resulta infrecuente 
encontrar empresas que disponen de su propio servidor de bases de datos, servidor Web y 
servidor de correo integrados en su propia infraestructura de TI. Además de estos servidores, 
también es frecuente encontrar en empresas servidores DHCP, servidores DNS, servidores 
FTP, etc. Sin embargo, para no alargar innecesariamente esta sección, los consejos de forta- 
lecimiento de aplicaciones se circunscribirán a los tres primeros tipos, a la postre los más 
utilizados: Web, bases de datos y correo. 


Servidor Web 


Poner a funcionar un servidor Web se traduce en abrir una puerta de entrada a los hackers. 
La instalación predeterminada de IIS 5.0 en Windows 2000 o de IIS 5.1 en Windows XP 
incorpora muchas características que raramente son utilizadas, pero que pueden esconder 
importantes agujeros de seguridad. Microsoft distribuye una útil herramienta para ayudar a 
los administradores de sitios Web a fortificar su IIS, llamada IISLockDown. Básicamente, la 
función de esta herramienta consiste en eliminar de la instalación de IIS todo aquello que 
posiblemente no desee, pero que puede causar problemas. El programa le irá guiando a lo 
largo de varias pantallas en las que le consulta acerca de desinstalar o dejar funcionando 
diversos aspectos: extensiones, programas, permisos, etc. Puede descargarse gratuitamente 
desde www.microsoft.com/technet/security/tools/locktool.mspx. 


Wot IIS 6.0 suministrado con Windows 2003 no necesita la herramienta lISLockDown porque su configura- 
ción predeterminada es tan restrictiva como si se hubiera ejecutado dicha herramienta. Ahora bien, que 
no sea IIS 6.0 tan vulnerable como sus predecesores no significa que no pueda fortalecerse. En 
www.microsoft.com/technet/security/guidance/secmod124.mspx puede encontrar una guía de fortale- 
cimiento de servidores IIS bajo Windows 20093. 


Una utilidad muy interesante incorporada a HSLockDown es URLScan. Se trata de un 
filtro ISAPI que podría definirse como un sencillo cortafuegos a nivel de aplicación para IIS. 
No debe confundirse con los cortafuegos convencionales, como los tratados en el Capítulo 4, 
que filtran el acceso a los servicios de su equipo. Los cortafuegos de aplicación sólo se 
ocupan del tráfico Web y saben interpretar el contenido HTTP. En concreto, URLScan le 
permite prohibir la petición de ciertas extensiones de archivo, de nombres de archivo com- 
pletos, de ciertos patrones en el URL, le permite especificar qué verbos o cabeceras se auto- 
rizan o se prohíben, e incluso permite cambiar la cabecera de identificación de IIS (banner). 
Las peticiones que hayan sido bloqueadas por URLScan se vuelcan en un archivo de registro 
que facilita su posterior examen en caso necesario. Ciertamente, no es ninguna maravilla, 
pero puede ayudar a proteger su servidor Web. 

Para los interesados en este tipo de soluciones para la protección de aplicaciones Web, 
existe otro cortafuegos de aplicación gratuito y de fuentes abiertas, CodeSeeker, que puede 
descargarse desde www.owasp.org/development/codeseeker. A un nivel más profesional, 
existe una oferta cada vez más amplia de cortafuegos de aplicación, como AppShield 
(www.sactuminc.com), HIVE (www.s21sec.com), InterDo (www.kavado.com), SecurelIS 
(www.eeye.com), SecureSphere (www.imperva.com), etc. Estos cortafuegos funcionan se- 
gún dos metodologías diferentes, que a menudo se combinan dentro del mismo producto 
para aumentar la eficacia: detección basada en anomalías y detección basada en mal uso: 


El método basado en anomalías busca un comportamiento o uso de los recursos 
informáticos que se desvíe de la “normalidad”. En primer lugar, debe definirse ade- 
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cuadamente lo que se entiende por comportamiento “normal”, lo cual no suele resul- 
tar una labor sencilla. Una vez que el comportamiento normal se ha caracterizado 
correctamente, todo comportamiento anómalo será considerado como un ataque. Para 
esta definición de la normalidad se suelen utilizar técnicas de inteligencia artificial. 

8 Por otro lado, el método de detección basado en mal uso busca firmas de ataques 
conocidos, esto es, mal uso de los recursos del sistema, que explotan debilidades en 
el software de sistema y de aplicación. Utiliza técnicas de ajuste de patrones (pattern 
matching) contra una base de datos de firmas de ataque frecuentemente actualizada. 
Resulta útil para detectar ataques ya conocidos o pequeñas variaciones de los mis- 
mos, pero no ataques nuevos o variaciones maliciosas que engañen al motor de reco- 
nocimiento de patrones. 


Servidor de base de datos 


Mientras que Oracle continúa ostentando la hegemonía en el mundo de las bases de datos, 
SQL Server se ha convertido en una elección cada vez más común en plataformas basadas en 
Windows para albergar los datos empresariales. 

Ejecutar el sistema gestor de base de datos tal y como queda después de la instalación 
predeterminada supone demasiados riesgos que es innecesario correr. Muchas característi- 
cas no quedan configuradas de manera óptima desde el punto de vista de la seguridad. Nor- 
malmente se instalan muchas funcionalidades que no son utilizadas y que sin embargo 
concentran buena parte de las vulnerabilidades y problemas de seguridad. A continuación se 
ofrece una serie de recomendaciones para que configure de manera adecuada su servidor de 
base de datos y desactive todas aquellas características que no se utilizan. 


Cree una contraseña fuerte para el usuario administrativo: Cuando instala SQL Server 
2000, se le pide que elija el modo de autenticación. Aunque el modo de autenticación 
de Windows resulta más seguro, ya que no exige transmitir contraseñas en claro ni 
obliga a crear cadenas de conexión ADO con las parejas de nombre de usuario/ 
contraseña, no siempre es posible desplegarlo en todos los entornos. Si éste es su 
caso y necesita configurar la autenticación mediante la cuenta administrador del 
sistema sa, introduzca una contraseña fuerte para sa, muy difícil de adivinar. Este 
sencillo paso le ahorrará disgustos graves en el futuro. En el caso de Oracle, se 
aplican los mismos principios para los usuarios sys y system. 
A Utilice una cuenta de servicio sin privilegios: Por defecto, SQL Server se ejecuta 
como el usuario Sistema local (LocalSystem), cuenta del sistema con excesivos privi- 
legios. Si un atacante gana acceso al servidor de base de datos, en algunas circuns- 
tancias podrá ejecutar comandos del sistema operativo con los privilegios de la cuenta 
bajo la cual se está ejecutando SQL Server. Por este motivo, conviene utilizar una 
cuenta con privilegios mínimos para ejecutar el servicio de SQL Server. Idénticos 
comentarios se aplican a otras bases de datos, como Oracle. 
A Elimine procedimientos almacenados extendidos: Una de las mayores fuentes de 
problemas en un servidor SQL Server es la ejecución inesperada por parte de un 
atacante de potentes procedimientos almacenados extendidos, como xp_cmdshell o 
xp_regread. Si no utiliza estos procedimientos dentro de sus aplicaciones, elimíne- 
los. En el caso de Oracle, conviene eliminar o como mínimo restringir el acceso a 
ciertos paquetes PL/SQL, como UTL_FILE, UTL_HTTP, UTL_SMTP y UTL_TCP. 
A Registre los inicios de sesión fallidos: Tras la instalación por defecto, el registro de 
este tipo de evento está deshabilitado. Se recomienda siempre activarlo, para poder 
detectar intentos de ataques de diccionario o fuerza bruta contra las contraseñas de 
los usuarios de base de datos, especialmente de administrador (sa, system, sys). Oracle 
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incorpora complejas directivas de contraseñas, que deberían activarse mediante la 
creación de perfiles de usuario. Las capacidades de auditoría de Oracle son extrema- 
damente ricas y flexibles y conviene que active aquellas que necesite. 
A Instale los últimos parches y Service Packs: Manténgase siempre al día instalando 
los últimos parches y Service Packs publicados por Microsoft para SQL Server y por 
Oracle. Puede utilizar la herramienta MBSA descrita anteriormente al hablar del 
fortalecimiento del sistema operativo para mantenerse siempre informado sobre ac- 
tualizaciones. 
Aísle su servidor de base de datos: No permita que ninguna máquina se conecte 
directamente al servidor de base de datos, con excepción de aquellas que necesitan 
solicitar sus servicios de datos para poder funcionar. Debe utilizarse un cortafuegos 
bien configurado para bloquear el tráfico hacia/desde el servidor de base de datos. De 
esta manera se evita además que se pueda atacar a otras máquinas de la red interna 
desde un servidor de base de datos comprometido. 

Utilice procedimientos almacenados y vistas: Mediante el uso responsable de proce- 

dimientos almacenados y vistas se consigue evitar el acceso directo a los datos. Gra- 

cias a este enfoque, los usuarios no necesitan permisos para acceder a las tablas 

(SELECT, INSERT, UPDATE, DELETE), sino que solamente tendrán permiso de 

ejecución sobre los procedimientos almacenados, los cuales acceden a vistas, que 

añaden un nivel más de separación entre los usuarios y los datos. 

A Cifre los datos: SQL Server no cifra las contraseñas de inicio de sesión cuando se 
utiliza el modo de autenticación de SQL Server mientras éstas viajan por la red. 
Simplemente las codifica utilizando un método muy poco sofisticado y fácil de inver- 
tir. Como nunca puede estar seguro de la presencia de sniffers en su red conviene que 
cifre el tráfico con su servidor SQL Server. SQL Server introduce la posibilidad de 
utilizar SSL sobre cualquier biblioteca de red para proteger la confidencialidad de sus 
datos. Ni que decir tiene que debe usar SSL si el servidor debe accederse a través de 
Internet. Si necesita además cifrar la información de algunos campos de ciertas ta- 
blas, utilice un algoritmo como DES, Triple DES o AES. Oracle se sirve de un proto- 
colo de autenticación propietario que no envía las contraseñas en claro. Sin embargo, 
los datos y peticiones sí que viajan en claro, por lo que conviene cifrarlos utilizando 
SSL o las capacidades de cifrado de datos de Oracle Advanced Security (OAS). 

§ Elimine bibliotecas de red: Las bibliotecas de red del servidor permiten que los clien- 
tes se conecten a SQL Server utilizando una gran variedad de protocolos. Debería 
eliminar todas las bibliotecas que no utiliza, dejando sólo el protocolo TCP/IP, lo que 
permite controlar quién puede conectarse al servidor en puertos específicos mediante 
directivas IPSec o filtrado TCP/IP en el cortafuegos. 


D> 


D> 


Uno de los mejores lugares donde puede acudir en busca de información sobre la seguri- 
dad de SQL Server es sqlsecurity.com. Su contrapartida para Oracle es www.petefinnigan.com/ 
orasec.htm. 

Muchas empresas están comercializando herramientas especializadas en la detección de 
vulnerabilidades en bases de datos. Resultan de gran utilidad para ayudar a los administra- 
dores a detectarlas antes de que lo haga un intruso. Algunas aplicaciones tales son AppSentry 
de Integrigy (www.integrigy.com/appsentry.htm), AppDetective de Application Security Inc. 
(www.appsecinc.com/products/appdetective), Database Scanner de Internet Security Systems 
(www.1ss.net), NGSSquirrel SQL y NGSSquirrel Oracle de Next Generation Security Soft- 
ware Ltd. (www.nextgenss.com). Por su parte, Microsoft ha publicado su propia herramienta 
llamada Microsoft SQL Server Best Practices Analyzer, cuya finalidad consiste en comparar 
la implantación de un servidor SQL Server en relación a las mejores prácticas recomenda- 
das. La herramienta es gratuita y puede descargarse desde www.microsoft.com/sql. 
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Del mismo modo que existen herramientas para detectar vulnerabilidades, existen otras 
para proteger los servidores de aplicaciones de bases de datos, que funcionan como sistemas 
de prevención de intrusiones (vea la sección “Sistemas de prevención de intrusiones” del 
Capítulo 6 para una descripción más profunda de estos sistemas). La mayor parte de casas 
que comercializan las herramientas de ataque ofrecen también herramientas de protección. 
Algunos ejemplos son AppDefend de Integrigy (www.integrigy.com/appdefend.htm) y 
AppRadar de Application Security Inc. (www.appsecinc.com/products/appradar). 


Servidor de correo 


La mayor parte de empresas hoy en día y muchos particulares dependen del correo electróni- 
co para desarrollar su negocio y sus actividades cotidianas. Por este motivo, los servidores de 
correo están ampliamente extendidos por Internet. 

En esta sección se destacarán algunos aspectos que nunca deben descuidarse en la conf1- 
guración de un servidor de correo para que no sea víctima de abusos por parte de hackers y 
spammers. Fortalecer el servidor de correo ofrece la ventaja de salvaguardar además a los 
clientes legítimos que se conecten a él para enviar o recuperar su correo; en concreto, ofrece 
protección frente a malware y frente a spam. Los pasos a seguir para fortalecer un servidor de 
correo consisten en: 


Bloqueo de direcciones hostiles: La mayoría de servidores de correo admiten la posi- 
bilidad de controlar el acceso a los mismos en función de la dirección IP del cliente. 
Esta característica puede resultar de gran utilidad para bloquear direcciones de servi- 
dores hostiles, como por ejemplo, spammers recalcitrantes. 
Protección contra retransmisión de terceros: La configuración predeterminada de los 
servidores SMTP para envío de correo permite la conexión con autenticación anóni- 
ma. En consecuencia, un usuario externo podría conectarse al servidor de correo de 
la organización, que debe estar visible en Internet, y enviarle un mensaje para que lo 
retransmita a múltiples destinatarios externos a la organización. El resultado final es 
que el servidor enviará ese mensaje a miles o millones de destinatarios y como con- 
secuencia, si esta operación se repite a menudo, experimentará una merma en su 
rendimiento, las colas de mensajes quedarán congestionadas y se estará colaborando 
involuntariamente a la expansión de la lacra del spam. El mecanismo fundamental 
para evitar la retransmisión (relaying) consiste en denegar el permiso de retransmi- 
sión a cualquier otro equipo. En aquellas situaciones en las que legítimamente se 
requiera la retransmisión, puede utilizarse la autenticación en combinación con el 
cifrado para permitirla solamente a clientes autenticados. 
A Filtrado de mensajes de spam: Para eliminar buena parte de los mensajes de spam 
recibidos se puede utilizar la resolución DNS inversa sobre los mensajes entrantes. 
Esta configuración del servidor SMTP verifica que la dirección IP y nombre de domi- 
nio cualificado del servidor que envió los mensajes coincide con el dominio que 
aparece en la dirección de correo del remitente. La resolución DNS inversa permite 
detectar la falsificación de direcciones, pero al precio de añadir una sobrecarga adi- 
cional al servidor de correo, que debe realizar esta verificación para cada mensaje 
entrante. Además exige que el servidor pueda contactar con las zonas de resolución 
inversa del dominio emisor de mensajes. Para profundizar en este tema consulte la 
sección “Protección contra spam” más adelante en este capítulo. 

A Filtrado de mensajes con malware: Los antivirus suelen instalarse a varios niveles 
diferentes: en el cortafuegos, en la pasarela de correo, en los propios servidores de 
correo y en los clientes. Este tema se desarrolla más adelante, en la sección “Protec- 
ción contra malware”. 
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8 Cifrado de las conexiones: Las conexiones de los clientes que utilicen bien el proto- 
colo IMAP4, bien POP3, para conectarse al servidor de correo para recuperar sus 
mensajes, así como SMTP para enviarlos, deberían cifrarse, ya que tanto los coman- 
dos como el contenido completo de los mensajes viajan en claro. Mediante el uso de 
SSL puede cifrarse toda la comunicación, desde el intercambio de autenticación hasta 
el trasiego de mensajes y cabeceras. Este requisito es especialmente importante cuan- 
do las comunicaciones entre los clientes y el servidor de correo atraviesan redes pú- 
blicas como Internet. Gran cantidad de servidores de correo implantan actualmente 
interfaces de acceso basado en Web. En este caso también resulta fundamental utili- 
zar el protocolo SSL en el navegador para conectarse al sitio Web de acceso al correo. 


Puede encontrarse información adicional sobre cómo proteger los servidores Exchange 
en www.microsoft.com/technet/prodtechnol/exchange/2000/maintain/opsguide.mspx. 
El lugar para aprender sobre las características de seguridad de Sendmail es por supuesto 
www.sendmail.org. 

Microsoft planea extender y mejorar los entornos de mensajería basados en el servidor 
Exchange con una versión actualizada de su nueva implementación de SMTP que actúa 
como guardián del perímetro. De aparición en 2005, los servicios Exchange Server Edge 
supuestamente permitirán proteger el sistema de correo frente a spam y virus. Se puede 
encontrar más información en www.microsoft.com/exchange/techinfo/security/ 
EdgeServices.asp. 


Aplicaciones de cliente 


A menudo los clientes, es decir, los puestos de trabajo, constituyen el punto más vulnerable 
de la organización. Una regla básica de seguridad es que: 


Un servidor en producción nunca debería utilizarse como puesto de trabajo 


En otras palabras, no navegue, ni lea el correo, ni trabaje con Office, ni con ninguna otra 
aplicación de cliente típica en un servidor en producción. Esas tareas deben restringirse a los 
puestos de trabajo. A continuación se ofrecen una serie de recomendaciones para hacer más 
seguras las actividades de la navegación, la lectura del correo electrónico, el trabajo con 
Office y la utilización de programas de Internet como chat, mensajería instantánea y aplica- 
ciones P2P. 


Navegación 


Si quiere navegar de forma segura, no utilice Internet Explorer. Así de sencillo. Internet 
Explorer 6 es el navegador más inseguro que existe. Navegar con él equivale a exponerse a 
todo tipo de ataques procedentes de Internet. Según Security Focus (www.securityfocus.com/ 
columnists/249) desde el 18 de abril de 2001 hasta junio de 2004 se han descubierto en el 
navegador de Microsoft 153 agujeros de seguridad. Continuamente hay que instalar parches 
y actualizaciones de seguridad. Y no es que otros navegadores carezcan de problemas de 
seguridad. Netscape también se ha llevado su buena ración de agujeros en ocasiones. Pero el 
número de vulnerabilidades en Internet Explorer es tan sobrecogedor que aquellos preocupa- 
dos por la seguridad no pueden por menos que plantearse si no deberían cambiar de navegador. 
Y no vaya a creerse que estas vulnerabilidades son nimiedades. Algunas, como la devastadora 
Download.Ject descubierta en junio de 2004 (www.microsoft.com/security/incident/ 
Download_Ject.mspx), permiten ejecutar código arbitrario en el equipo de la víctima por el 
mero hecho de que ésta haya visitado una página Web maliciosa, sin ninguna otra acción por 
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su parte. Sí, ha leído bien. Basta con visitar una página Web para que un atacante pueda 
hacer lo que quiera en su ordenador. De hecho, este tipo de agujeros críticos es tan frecuente 
en Internet Explorer, que existe software spyware que se instala en su ordenador cuando 
visita páginas Web, las cuales explotan estos agujeros de Internet Explorer para introducirse 
en su equipo. No podía ser peor. 

En franca contradicción con la verborrea mediática de Microsoft acerca de su rápida 
respuesta ante incidentes y su compromiso por la seguridad de sus clientes, lo cierto es que 
existen vulnerabilidades críticas en Internet Explorer conocidas durante meses y perfecta- 
mente documentadas, pero sin parchear, exponiéndose a todos sus usuarios. Un listado siem- 
pre actualizado de vulnerabilidades aún sin parchear puede obtenerse en www.safecenter.net/ 
UMBRELLAWEBV4/1e_unpatched. Por otro lado, en muchas ocasiones, cuando Microsoft 
parchea el agujero de seguridad, no ataca el verdadero problema en su raíz, por lo que días o 
semanas después aparece un nuevo ataque que explota la misma vulnerabilidad, que en 
realidad nunca fue corregida, pero de una forma diferente. 

Teniendo en cuenta que aproximadamente el 95% de los internautas en todo el mundo 
utiliza Internet Explorer es lógico que los ataques se concentren contra este navegador. Por 
tanto, utilizando navegadores no basados en Internet Explorer se navega relativamente a 
salvo. Y no se despiste por la oleada de nuevos navegadores basados en el motor de Internet 
Explorer, como Avant Browser, Crazy Browser, MyIE2, NetCaptor o Slim Browser. Aunque 
añadan nuevas características de gestión de cookies, de borrado de rastros (historial, caché, 
búsquedas, etc.) y bloqueo de anuncios, todas ellas deseables desde el punto de vista de la 
seguridad, no hay que olvidar que siguen funcionando sobre el motor de Internet Explorer, 
por lo que les afectarán buena parte de las vulnerabilidades de éste, si no todas. 

Al margen de los agujeros de seguridad, Internet Explorer nunca se ha caracterizado por 
la flexibilidad y riqueza de funcionalidad en la gestión de aspectos de seguridad tales como 
la gestión de cookies, el bloqueo de ventanas emergentes (pop-ups) con publicidad, conten1- 
do ofensivo y a veces señuelos para instalar software malicioso, o la administración de con- 
traseñas. Estos aspectos están mucho mejor cuidados en otros navegadores como por ejemplo 
Opera o FireFox. Así que si desea navegar de forma segura, olvídese de configurar las zonas 
de seguridad y demás características de Internet Explorer y abandónelo por completo. Ac- 
tualmente, las dos alternativas más seguras y con mayor riqueza funcional son Opera 
(www.opera.com) y FireFox (www.mozilla.org/products/firefox). (Véase Figura 5.12.) 

A pesar de leer el texto anterior, muchos usuarios seguirán aferrados a Internet Explorer. 
Al menos los administradores deberían considerar el cambio si no desean imponerlo a todos 
los usuarios de la empresa. Por supuesto, ni que decir tiene que un administrador jamás 
debería navegar como el usuario Administrador ni como miembro de Administradores, sea 
cual sea el navegador elegido. Si el cambio a otro navegador resulta imposible, asegúrese al 
menos de tomar las siguientes precauciones con Internet Explorer. 

Conscientes de los riesgos de utilizar Internet Explorer en un servidor, Microsoft ha 
introducido en Windows 2003 un nuevo componente opcional llamado Configuración de 
seguridad mejorada para Internet Explorer (Internet Explorer Enhanced Security 
Configuration). Se trata de un grupo predefinido de configuraciones para Internet Explorer 
que reduce la probabilidad de que un usuario o administrador descargue o ejecute código 
malicioso en el servidor. Algunas de las modificaciones más importantes que realiza sobre 
Internet Explorer incluyen: 


Establece a Alta el nivel de seguridad de la zona de Internet. 

Deshabilita la detección automática de sitios de la zona Intranet local. 

Deshabilita la instalación bajo demanda y las extensiones de navegador que no pro- 
vengan de Microsoft. 

Deshabilita el contenido multimedia. 


DD» 


uN 


Capítulo 5: Protección de equipos 279 


A AA A 
LA Archivo Editar Wer  Mawegación Marcadores Correo  Wentanas Ayuda 


MAIMI 
AO A E Da 


E VELADA, gonzaloalyarez. a E A aaa 


rm a |==] E 
Marcadores dla ptas GE LA tw neuroceyypt. com] + M6 


Descargas Enlaces 
Buscar rápidamente 
[A maw neurocrypt.comn 

E a, gonzaloalyarez, com 

E Yahoo! & Opera 

(4 file: 1 C archivos de programa Opera... 
E Opera browser 





Figura 5.12. Opera se perfila como una de las mejores alternativas a Internet Explorer. 


Bien es verdad que debido a las fuertes restricciones impuestas sobre Internet Explorer 
después de aplicar estos cambios pueden existir sitios Web que no funcionen correctamente. 

Aunque estos cambios sólo están disponibles para Windows 2003, se pueden descargar 
los scripts necesarios para realizarlos en el navegador de cualquier otra versión de Windows 
desde www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb- 
9757f7e9e31b4DisplayLang=en. 

Utilizar el componente Configuración de seguridad mejorada para Internet Explorer no 
es una tarea trivial y requiere un elevado nivel de conocimientos. Si no desea complicarse 
excesivamente y todo lo que desea es navegar algo más seguro con Internet Explorer, enton- 
ces puede poner en práctica los siguientes consejos. 

Internet Explorer 6 divide el mundo en cuatro categorías o zonas, a cada una de las 
cuales se le puede asignar individualmente su propia configuración. De ahí en adelante, cada 
sitio Web será asignado a su zona correspondiente con el nivel de seguridad adecuado. El 
nombre de la zona de Internet en la que se está navegando aparece en la barra de estado en la 
parte inferior derecha. A la sazón, Internet Explorer suministra cuatro zonas de seguridad, 
como se muestra en la Tabla 5.6. Además, se supone que los archivos de su equipo local son 
completamente seguros, por lo que no se les aplica la configuración de seguridad. Esta ca- 
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Tabla 5.6. Zonas de seguridad de Internet Explorer. 


Zona Descripción 


Intranet local Direcciones que no requieren un servidor proxy. Las 
direcciones incluidas en esta zona las define el administrador 
del sistema en el Internet Explorer Administrator*s Kit 
(IEAK). El nivel de seguridad por defecto para esta zona es 
Bajo. 

Sitios de confianza Sitios en los que se confía lo suficiente como para requerir un 
nivel de seguridad bajo antes de descargar o ejecutar 
programas desde Internet. Se pueden asignar sitios a esta 
zona. Por defecto, el nivel de seguridad es Bajo. 

Sitios restringidos Sitios en los que no se confía, requiriendo para ellos un nivel 
de seguridad medio o alto antes de descargar o ejecutar 
programas desde Internet. Por defecto, el nivel de seguridad es 
Alto. 

Internet Esta es la zona por defecto para todos los usuarios. Se 
considera como Internet cualquier cosa que no esté en el 
ordenador, en la intranet o en los sitios de las zonas anteriores. 
No puede agregar sitios Web a esta zona. Por defecto, el nivel 
de seguridad es Medio. 


racterística le permite abrir y ejecutar archivos y programas de su equipo sin preguntas ni 
interrupciones. 

Por su parte, a cada zona se le puede asignar su propio nivel de seguridad. Estos niveles 
se aplicarán a todo código descargado desde sitios de la zona en particular. En la Tabla 5.7 se 
listan los distintos niveles de seguridad. No obstante, resulta posible que un sitio Web se salte 
las restricciones impuestas por las Zonas de seguridad, por lo que nunca debe navegarse con 
un falso sentido de seguridad. 


see] Para abrir la ficha Seguridad de Internet Explorer rápidamente, haga doble clic sobre el icono en la 
parte inferior derecha de la barra de estado. (Véase Figura 5.13.) 


Asigne el nivel de seguridad alto a la zona Internet. Para ello, abra la ficha Seguridad, 
seleccione la zona Internet, pulse el botón Nivel personalizado y por último mueva el 
control deslizante hasta la posición Alta. Como efecto secundario, se desactivará la ejecu- 
ción de Java, controles ActiveX, JavaScript, descarga de archivos, etc., por lo que muchos 
sitios Web podrían no funcionar correctamente. 

Incluya aquellos sitios a los que se conecta habitualmente dentro de la zona Sitios de 
confianza: el banco, el correo Web, el periódico, etc. Para ello, abra la ficha Seguridad, 
seleccione la zona Sitios de confianza y pulse el botón Sitios. Escriba el nombre del sitio 
Web en el cuadro Agregar este sitio Web a la zona y pulse el botón Agregar. Repita la 
operación tantas veces como sitios de confianza desee agregar. Si los sitios no requieren 
seguridad con SSL (véase Capítulo 3) asegúrese de desactivar la casilla Requerir compro- 
bación del servidor (https:) para todos los sitios de esta zona. Cuando haya terminado 
pulse Aceptar. Por último, configure el nivel de seguridad de la zona como Media. 

Nunca ejecute directamente un programa descargado desde Internet. Cuando se le pre- 
sente el cuadro de diálogo preguntando si desea abrir o guardar el archivo, seleccione siem- 
pre Guardar. Una vez en el disco duro, escanéelo con un antivirus antes de ejecutarlo. 


Tabla 5.7. 


Nivel 


Alto 


Medio 


Bajo 


Personalizar 
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Niveles de seguridad para las zonas. 


Descripción 


Evita de manera automática la descarga y ejecución de prácticamente 
todo tipo de contenido activo, incluyendo descargas de archivos. Esta 
es la opción recomendada para máxima seguridad. Algunos usuarios, 
no obstante, lo pueden encontrar excesivamente restrictivo. 

Pide a los usuarios confirmación antes de descargar o ejecutar 
contenido potencialmente peligroso. Esta opción se recomienda como 
el mejor compromiso entre la seguridad y la conveniencia. 

Sólo pide confirmación antes de descargar o ejecutar controles 
ActiveX sin firmar. Cualquier otro contenido activo se ejecuta sin 
previo aviso. No se recomienda esta opción. 

Permite personalizar las restricciones que se aplicarán al contenido 
activo. Esta opción sólo se recomienda para usuarios expertos que 
conozcan a fondo el funcionamiento del contenido activo. 


Para protegerse frente a las ventanas emergentes (pop-ups) utilice alguna herramienta 
proporcionada por terceros, ya que Internet Explorer no suministra esta característica. 
La mayoría de barras de navegación, como la barra de MSN (toolbar.msn.com) o la barra de 
Google (toolbar.google.com), proporcionan protección contra ellas, además de otras muchas 
funciones, algunas muy prácticas. Otra popular barra es Power IE (www.powerle.com). 


Figura 5.13. 


Propiedades de Seguridad Internet 


Seguridad 


Seleccione Una zona de contenido Web para especificar la configuración de seguridad 


de la misma. 
3 O 0 


Internet Intranet local Sitios de Sitios 
confianza restringidos 


Internet 


«e, Esta zona contiene todos los sitios 
3? Web que no ha situado en otras 
zonas 


Mivel de seguridad de la zona 
Muevwa el control deslizante para establecer el nivel de seguridad de la zona. 


Alta 


- La exploración mås segura pero la menos Funcional 

- 5e deshabilitan las caracteristicas menos seguras 

- Apropiado para sitios de Internet que puedan tener 
contenido dañino 


Mivel personalizado... Mivel predeterminado 





Zonas de seguridad de Internet Explorer. 
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Todos los navegadores incorporan la posibilidad de recordar los campos que se rellenan 
en un formulario, incluidas las contraseñas. Esta característica, que puede resultar muy có- 
moda para una persona que es la única usuaria de un ordenador, abre un importante proble- 
ma de seguridad cuando son varios los que navegan desde la misma cuenta en el ordenador. 
Cuando un usuario visita una página en la que se le pide nombre de usuario y contraseña, 
tras haberlos introducido, el navegador le presentará una ventana en la que se le pregunta si 
desea que Windows recuerde la contraseña para no tener que escribirla la próxima vez que 
visite esa página. En caso afirmativo, quedará almacenada de forma codificada en el Regis- 
tro de Windows. 

En adelante, cada vez que se acceda a la misma página, la contraseña se rellenará auto- 
máticamente. Estas contraseñas se pueden ver con una herramienta llamada Protected Storage 
PassView (nirsoft.mirrorz.com). En primer lugar, en la ventana que se le presenta debe 
contestar que no lo desea y verificar la casilla No volver a ofrecer recordar contraseñas. S1 
esta funcionalidad ya está activada, puede borrar todas las contraseñas y desactivar la carac- 
terística. 


1. Seleccione Herramientas>Opciones de Internet>Contenido y pulse el botón 
Autocompletar. 

2. Desactive la casilla Nombres de usuario y contraseñas en formularios. 

3. Pulse los botones Borrar formularios y Borrar contraseñas. 

4. Pulse Aceptar dos veces. 


Puede encontrar mucha más información sobre la seguridad de Internet Explorer en 
www.microsoft.com/technet/security/prodtech/1e/default.mspx. 


Correo electrónico 


Una de las formas más extendidas de propagación de virus y gusanos es a través del correo 
electrónico. Conviene por tanto filtrar los mensajes entrantes en el perímetro o en los servi- 
dores de correo. Siempre, pero especialmente cuando esta precaución resulte imposible, los 
usuarios deben utilizar con su propio cliente de correo algunas normas básicas de supervi- 
vencia. 


Nunca abra un archivo adjunto sin escanearlo antes con un antivirus. Conviene ins- 
talar un antivirus que disponga de un complemento/plug-in de Outlook Express o 
que pueda analizar el tráfico SMTP/POP3/NNTP directamente desde Winsock. 
Utilice las pocas características de protección antivirus incorporadas por Outlook 
Express. Seleccione Herramientas>Opciones>Seguridad. Seleccione la opción Zona 
de sitios restringidos (más segura). Verifique las dos casillas Avisarme cuando 
otras aplicaciones intenten enviar un correo electrónico con mi nombre y No 
permitir que se guarden o abran archivos adjuntos que puedan contener virus. 
Esta última opción tiene la ventaja (o inconveniente, según se mire) de que ya no 
podrá acceder a los archivos adjuntos potencialmente peligrosos, aun cuando no lo 
fueran. (Véase Figura 5.14.) 


D> 


Para determinar los archivos que Outlook Express considera inseguros, abra una ventana del Explora- 
dor de Windows y seleccione Herramientas>Opciones de carpeta>Tipos de archivo. Seleccione un 
tipo de archivo cualquiera y pulse el botón Opciones avanzadas. Si la casilla Confirmar apertura 
después de la descarga está verificada, entonces se considera inseguro. Puede activar/desactivar la 
opción a su gusto si encuentra que una extensión inocua ha sido bloqueada o al revés. 
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Archivo Edición Wer Herramientas Mensaje Ayuda 
: Ye aX DO 
4 Outlook Express quitó el acceso al siguiente archivo adjunto mo confiable en su correo: supkeyPartB2.mcd 


De: savita angadi 

Fecha: lunes, 07 de junio de 2004 14:04 
Para: gonzaloíMiec,csic,es 

CC: pgyaidyamyahoo, com 

Asunto: superkey related mathcad Files 


Dear Dr. Alvarez, 


Professor Vaidya asked me to send these mathcad files to 
yol. 


$ 





Figura 5.14. Cuando Outlook Express bloquea datos adjuntos, presenta una alerta en la 
barra de alertas de mensaje al principio del mensaje de correo electrónico. 


Â Cuando abra los correos, no lo haga en formato HTML. En su lugar, léalos como 
texto sin formato. Para ello, seleccione Herramientas>Opciones>Leer y verifique 

la casilla Leer todos los mensajes como texto sin formato. 

A Si quiere ver un mensaje completo sin abrirlo, cabeceras incluidas, en formato texto 


y por tanto inofensivo, haga clic sobre él con el botón secundario del ratón y seleccio- 
ne Propiedades>Detalles. Pulse el botón Origen del mensaje y podrá leerlo sin 
exponerse a ningún tipo de peligro. 

8  Desactive la vista previa de mensajes. Seleccione Ver>Diseño y desactive la casilla 
Mostrar panel de vista previa. 


Office 


El mayor riesgo que plantean las aplicaciones de Office para seguridad radica en su capaci- 
dad de ejecutar potentes macros. Esta potencia ha atraído la atención de los desarrolladores 
de malware, quienes han creado los virus de macro. Microsoft ha publicado una completa 
guía de recomendaciones para los productos de la suite de Office en office.microsoft.com/ 
assistance/preview.aspx?AssetID=HA010957811033£CTT=98. Como mínimo, en todos los 
productos de la suite de Office debe seleccionarse el nivel Alto en Herramientas>Macros> 
Seguridad>Nivel de seguridad. En la pestaña Fuentes de confianza desactive la casilla 
Confiar en todas las plantillas y complementos instalados, que estará verificada por defecto. 
(Véase Figura 5.15.) 


Programas P2P, chat y mensajería instantánea 


Además del correo electrónico y la navegación, la mayor parte de usuarios de Internet gustan 
de utilizar otras aplicaciones de red como la mensajería instantánea (MI), el chat y los pro- 
gramas para intercambio de archivos, lo que se conoce como software de tú a tú o de igual a 
igual o de particular a particular (Peer-To-Peer o P2P). 
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seguridad 


+ Alto, Sólo se ejecutarán las macros firmadas que proceden de 
fuentes de confianza. Las macros sin Firmar se deshabilitan 
automáticamente, 


Medio, Puede elegir ejecutar o no macros que probablemente 
no son seguras, 


Bajo (no recomendado). Mo ofrece protección contra macros 
inseguras. Utilice este valor sólo si dispone de un antivirus en 
su equipo o si está seguro de que todos los documentos que 
abra son de confianza. 


Mo hay ningún antivirus instalado. 


Figura 5.15. Protección básica contra los virus de macro en los programas de Office. 





Riesgos 


Estos programas ocasionan una gran cantidad de problemas a empresas y particulares: 


D> 


D> 


Pérdida de productividad: El chat se presta especialmente a que los empleados pasen 
horas interminables de charla. La mensajería instantánea también presenta el mismo 
problema, aunque en menor medida. 

Consumo de ancho de banda: La descarga de música y en especial de películas me- 
diante aplicaciones P2P, tipo eMule, Kazaa, WinMX, etc., puede llegar a consumir 
todo el ancho de banda disponible, impidiendo que se pueda utilizar Internet para 
otros fines más productivos. 

Problemas legales: Los programas P2P se utilizan casi en exclusiva para descargar 
películas, música y programas pirateados, todas ellas actividades ilegales penaliza- 
das por la Ley. Si los empleados de una empresa utilizan sus recursos informáticos 
para realizar estas actividades perseguidas por la Ley, podrían derivarse responsabi- 
lidades legales para la empresa. 

Virus: Los tres tipos de programas (chat, MI, P2P) se utilizan para intercambiar 
archivos. Normalmente estos archivos eluden controles antivirus perimetrales, cen- 
trados en las descargas con el navegador y en el correo electrónico, por lo que si 
alguno estuviera infectado podrían suponer la puerta de entrada de infecciones en la 
red corporativa. 

Puertos abiertos y revelación de IP: La mayoría de estos programas están revelando 
durante su uso la dirección IP de los clientes, constituyendo la excepción el chat con 
IRC. Un atacante puede servirse del conocimiento de la IP del cliente para intentar 
ataques contra él. 

Compartición de recursos inesperada: Muchas aplicaciones P2P comparten un área 
del disco duro mucho mayor de lo que esperaba el usuario, llegándose a veces a poner 
a disposición de cualquiera su disco duro completo. 
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Spyware: Es sabido que algunos de los programas P2P más populares, como Kazaa, 
incorporan spyware. Este tema fue tratado en profundidad en el Capítulo 2. 
Comunicaciones en claro: La mensajería instantánea se utiliza en muchas empresas 
para que los empleados se comuniquen internamente, o con otros empleados en ofi- 
cinas remotas, o incluso con los clientes. Lo que a menudo se olvida es que estas 
comunicaciones viajan en claro, con el consiguiente riesgo para la confidencialidad 
de la información intercambiada. 
A Agujeros de seguridad: Todos los tipos de programas mencionados han protagoniza- 
do en el pasado incidentes de seguridad debido a vulnerabilidades de desbordamien- 
to de búfer o de otro tipo. Su uso abre por tanto un nuevo vector de ataque para 
hackers y gusanos. 
A Ingeniería social: El chat es un canal especialmente explotado por los hackers para 
sus ataques de ingeniería social sobre víctimas desprevenidas. Lo mismo ocurre con 
la ML 
S  Spim: Primero fue el spam, ahora es el spim, esto es, mensajes instantáneos comer- 
ciales no solicitados. Hoy por hoy, la incidencia del spim es incomparablemente más 
baja que la del spam. Así como el 100% de los usuarios de correo electrónico reciben 
spam (se calcula que el 65% de los mensajes de correo que circulan por Internet son 
spam), por el momento las cifras de usuarios de MI víctimas del spim oscilan entre 
un 20 y un 30%, aunque los investigadores del fenómeno aseguran que está crecien- 
do a un ritmo unas tres veces superior al del spam. El spim resulta mucho más 
molesto que el correo electrónico, ya que los mensajes instantáneos recibidos saltan 
en mitad de la pantalla o se anuncian con sonidos, a diferencia del spam, donde es el 
usuario quien decide cuándo leer su correo. 


> 


ese] Evitar el soim en Windows Messenger es muy sencillo. Seleccione Herramientas>0Opciones> 
Privacidad. Asegúrese de que en la lista de usuarios que pueden enviarle mensajes sólo se encuen- 
tran las personas de su lista de contactos. 


Normalmente, estos programas son instalados por los propios usuarios, sin el conoci- 
miento ni la participación del departamento de TI o del administrador. Debería preguntarse 
a los usuarios si han instalado algún tipo de este software a título personal en los equipos de 
la empresa. También resulta sencillo detectar su uso mediante el análisis de tráfico de la red. 
El primer paso para protegerse de los riesgos de estos programas y limitar su incidencia 
consiste en conocer su existencia en la red interna. 


Cómo protegerse y limitar su incidencia 


El uso de este tipo de programas se puede combatir en varios frentes, de tipo tecnológico y de 
tipo personal: 


Formación y concienciación: Muchos usuarios no son realmente conscientes de los 
riesgos planteados por estos programas. El primer paso consiste en educarlos y 
concienciarlos. El uso (ilimitado, restringido o prohibido) de este tipo de software 
debería estar contemplado en la política de seguridad de la empresa, que debería 
informar a los usuarios respecto de las consecuencias de contravenir las normas 
laborales en esta cuestión. 

A Antivirus: Como se ha mencionado, estos programas abren una nueva vía de entrada 
para virus, gusanos y troyanos. He aquí una razón más por la que el enfoque del 
antivirus perimetral como única línea de defensa contra estas amenazas resulta insufi- 
ciente. Es necesario instalar además aplicaciones antivirus en los puestos de trabajo. 
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Parches: Si se permite el uso de estos programas, resulta fundamental mantenerse al 
día en la actualización de parches para ellos. Debe suscribirse al servicio de alertas o 
notificaciones de seguridad o similar que provean. 

Cortafuegos: Todos estos programas utilizan números de puertos TCP y UDP bien 
definidos. Pueden filtrarse en el cortafuegos perimetral, bloqueando su tráfico. De 
hecho, como ya se ha repetido en numerosas ocasiones, el enfoque más seguro a 
adoptar en el cortafuegos consiste en prohibir todo el tráfico excepto el expresamente 
permitido. 

Aplicaciones intraempresariales: El problema de la MI es que requiere una conexión 
de salida a Internet, con los riesgos asociados de más puertos abiertos en el cortafuegos 
y exposición a ataques exteriores contra MI. Una alternativa especialmente indicada 
en aquellos entornos donde la MI se utilice exclusivamente para la comunicación 
interna entre los empleados consiste en utilizar Live Communications Server 2003 
(www.microsoft.com/office/livecomm/prodinfo/default.mspx) y Windows Messen- 
ger 5.0 en los clientes. Como ventajas adicionales proporciona cifrado de las comu- 
nicaciones y gestión de autenticación y permisos de usuarios con Directorio Activo. 
Cifrado: Cuando se utilice la MI para aplicaciones de negocio o para sostener conver- 
saciones privadas a través de redes públicas, debe considerarse la posibilidad de utili- 
zar un cliente como Jabber (www.jabber.com), que incorpora cifrado. Otra posibilidad 
consiste en utilizar Trillian (www.trillian.cc), un cliente de MI universal gratuito que 
permite intercomunicarse con cualquiera de los cuatro grandes programas de MI, a 
saber, Windows Messenger, Yahoo! Messenger, ICQ y AIM, así como a las redes 
de chat de IRC, utilizando cifrado en AIM e ICQ. Por último, ZoneLabs 
(www.zonelabs.com) ofrece el producto IMsecure para cifrar las comunicaciones me- 
diante MI, además de ofrecer otras ventajas de seguridad en MI. (Véase Figura 5.16.) 
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Figura 5.16. El cliente universal de mensajería instantánea Trillian permite: 1) cifrar las 


comunicaciones; 2) recordar la conversación anterior con auto-history; 
y 3) corregir ortográficamente mientras escribe. 
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Control de contenidos de páginas Web 


Si es usted padre de familia, jefe de un grupo de empleados o educador con jóvenes bajo su 
tutela, puede que le preocupe saber por dónde navegan las personas a su cargo, qué conten1- 
dos ven y si son convenientes para ellos. Con el fin de restringir el uso que esas personas 
hacen del navegador instalado en los ordenadores de su hogar, oficina o aula, Internet Explorer 
incorpora un Asesor de contenido para ayudarle a controlar el tipo de contenidos de Internet 
a los que se tiene acceso desde su equipo. Para aplicaciones empresariales el Asesor de 
contenido se muestra claramente insuficiente, por lo que algunas casas han comercializado 
software especializado en el filtrado de contenidos. En esta sección se revisan soluciones 
domésticas y empresariales, para todos los gustos y necesidades. 


El asesor de contenidos de Internet Explorer 


Internet Explorer incorpora un Asesor de contenido para ayudarle a controlar el tipo de 
contenidos de Internet a los que se tiene acceso desde su equipo. Una vez activado el Asesor 
de contenido, sólo podrán mostrarse los contenidos restringidos que satisfagan o excedan los 
criterios que determine. Con el fin de evitar que otros usuarios vean o cambien su configura- 
ción, ésta se protege mediante una contraseña. A partir del momento en que se activa el 
Asesor de contenido, nadie que use su navegador (sin un conocimiento sofisticado de orde- 
nadores) podrá saltarse las restricciones. (Véase Figura 5.17.) 

Se utiliza el estándar de clasificación conocido como PICS (Parental Internet Content 
Selection). Existen varios sistemas de clasificación independientes compatibles con PICS: 
RSACI (www.rsac.org), ICRA (www.1cra.org), SafeSurf (www.safesurf.com) y ESRBI 


MO ln 


Clasificación | Sitios aprobados | General | Opciones avanzadas 


Seleccione una categoría para ver los niveles de clasificación: 


J ARSACI 


Se Desnudez 
Be Lenguaje 


Be Molencia 


Ajuste el control deslizante para especificar qué pueden ver los usuarios: 


J 


Nivel 2: Roce zergal con la ropa puesta 


Descripción 
Roce sexual con la ropa puesta. 


Para ver la pågina de Internet relativa a este — T 
sistema de clasificación, haga clic en Más Más información... 


información. 





Figura 5.17. El asesor de contenidos de Internet Explorer representa una solución parcial 
al problema de la restricción de la navegación. 
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(www.esrb.net). Cada sistema emplea un método diferente para describir con el mayor deta- 
lle posible los niveles de contenido potencialmente ofensivo en las páginas Web. Estos con- 
tenidos se agrupan en las siguientes categorías: violencia, desnudez, sexo y lenguaje. SafeSurf 
añade, además, otros contenidos, como profanidad, heterosexualidad, homosexualidad, in- 
tolerancia racial, sexual o religiosa, drogas, juego, etc. 

Para activar el Asesor: 


1. Seleccione Herramientas>Opciones de Internet>Contenido. 

Pulse el botón Habilitar, que abrirá la ventana Asesor de contenido. 

2. En la ficha Clasificación, especifique los distintos niveles permitidos para cada ca- 
tegoría. 

3. En la ficha General, configure el resto de opciones, sin olvidar la contraseña de 
supervisor, que permite cambiar la configuración del Asesor. 


jua 


El inconveniente de utilizar el Asesor es que si no se activa la casilla Los usuarios 
pueden ver sitios sin clasificación (en la ficha General dentro de Asesor de contenido), al 
ser tan pocas las páginas actualmente clasificadas, la navegación se volvería prácticamente 
imposible. Esto empuja normalmente a activar dicha casilla, con lo cual se podrá navegar 
por la casi totalidad de sitios Internet, especialmente con contenidos violentos o sexuales, los 
cuales con toda seguridad no incluirán una clasificación. Este obstáculo vuelve este sistema 
inservible en la práctica. 

Como alternativa a verificar esta casilla, en la pestaña Sitios aprobados, incluya una 
lista de sitios permitidos, independientemente de su clasificación. De esta forma al menos se 
podrá navegar por ellos. Solamente el supervisor puede manipular esta lista. 


Software patrulla para los niños 


Por desgracia, esta solución incorporada de fábrica con Internet Explorer no resulta dema- 
siado efectiva, ya que o bien deniega prácticamente por completo la libre navegación, o bien 
el Asesor no es capaz de bloquear muchas páginas. Si está especialmente preocupado por lo 
que ven y leen los menores de edad, tal vez desee instalar algún software de censura en su 
ordenador. Existe una amplia oferta de productos, cuya misión consiste en filtrar los conteni- 
dos programados como inadecuados. Estos programas normalmente se instalan en el orde- 
nador cuya navegación se desea proteger. Otros programas, tratados en el siguiente apartado, 
se instalan en un servidor central que da acceso a Internet al resto de equipos. Por lo general, 
se suelen usar dos aproximaciones para resolver el problema del filtrado de contenido inade- 
cuado: o bien el bloqueo de palabras clave perniciosas, que hacen suponer la presencia grá- 
fica o textual de material desaconsejable en una página Web, o bien el listado de sitios Web 
con contenido recomendable y de sitios Web con contenido reprobable, prohibiéndose el 
acceso a los segundos sitios. 

Ahora bien, no vaya a creer que son la panacea. Todos ellos, ya sean de uno u otro tipo, 
presentan varios problemas que debe sopesar si piensa adquirir uno: 


Ninguno es eficaz 100% y a menudo se bloquean páginas que nada tienen de noci- 
vas, pero a lo mejor incluyen una palabra desafortunada. 


Â A veces un adulto no tiene control sobre los filtros y listas, sino que es la empresa que 
comercializa el producto quien los configura. 
A Las listas de Web cambian diariamente, lo que exige actualizarlas manualmente o 
= descargar listas del fabricante, a menudo pagando. 

El manejo y configuración de algunos productos resulta complejo. 
8 Los niños y estudiantes avispados terminan aprendiendo a saltarse estas protecciones. 
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Entre los programas “niñera” más populares se encuentran Optenet (www.optenet.com), 
Filtrar (www.filtrar.com) o Platinum Internet Security (www.pandasoftware.es), para 
usuarios españoles, así como Cyber Patrol (www.cyberpatrol.com), Cybersitter 
(www.cybersitter.com) y Net Nanny (www.netnanny.com), más orientados al público anglo- 
sajón. 


Filtrado en la empresa 


Desde que las nuevas tecnologías se están popularizando y penetrando cada vez más en las 
empresas y administraciones, se crean nuevas formas de distracción para los empleados: 
pornografía, subastas, búsqueda de nuevo empleo, comercio electrónico, banca a distancia, 
prensa, juegos, correos personales, chat basado en Java, descarga de música y vídeos,... Las 
posibilidades son infinitas, como los contenidos de Internet. Ese trabajador que parece en- 
contrarse tan atareado delante de la pantalla, podría estar ocupándose en cualquiera de estos 
pasatiempos. 

Como consecuencia de la intranquilidad que suscitan estas nuevas posibilidades de mal 
uso de los medios laborales, han surgido una serie de productos comerciales para controlar, 
registrar y analizar el uso de los recursos de la red corporativa, especialmente del correo y de 
la navegación. Su misión es ayudar a la empresa a reducir pérdidas de productividad, prote- 
ger el ancho de banda, evitarle responsabilidades legales y minimizar problemas de seguri- 
dad en general. 

Algunos de los productos más conocidos del mercado se listan en la Tabla 5.8. Téngase 
en cuenta que estos productos, de elevado precio, no se limitan a filtrar el acceso Web a 
Internet, sino que también examinan el ancho de banda consumido, protegen frente a virus 
en el correo, limpian el correo entrante de spam, y un sinfín de otras acciones que dependen 
ya del programa concreto. 


Tabla 5.8. Productos para control de contenidos Web. 


Nombre URL Descripción 


SurfControl www.surfcontrol.com Gestión responsable del uso 
de Internet en el hogar, 
en la escuela o en el trabajo. 
Optenet www.optenet.com Ofrece filtrado de accesos 
a Internet, navegación 
sin anuncios, antispam, 
monitorización de la navegación 
y antifraude bancario. 


8e6 www.8e6technologies.com Soluciones de filtrado 
de contenidos para la empresa 
y el hogar. 

Websense www.websense.com Producto estrella de gestión, 


monitorización y generación 
de informes sobre el uso 
de Internet en el trabajo. 
Webwasher URL  www.webwasher.com Proporciona filtrado de contenidos 
Filter basado en URL para un gran 
número de usuarios. 
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Filtrado en el proveedor 


Otro enfoque completamente diferente consiste en que el proveedor de acceso a Internet 
filtre directamente los contenidos. De esta manera, no es necesario instalar ningún software 
en los equipos que se utilizan para salir a Internet. Telefónica ofrece a sus clientes de ADSL 
la posibilidad de contratar Canguro Net, un servicio de filtrado de acceso a Internet que 
permite limitar los accesos a páginas Web y la descarga de determinados tipos de archivos, 
según su contenido. Como su nombre indica, está especialmente orientado a la protección de 
público infantil. No requiere la instalación de ninguna aplicación para el funcionamiento del 
servicio, lo que facilita que el mantenimiento y actualización lo realice Telefónica en los 
servidores situados en la red, sin ninguna molestia por parte del usuario final. Se comercia- 
liza en dos modalidades, básica y plus, filtrando la segunda un mayor rango de contenidos. 
S1 tiene contratada una línea ADSL con Telefónica y está interesado en obtener más informa- 
ción sobre Canguro Net, puede acudir a www.telefonicaonline.com. 


Protección contra malware 


El mundo está lleno de peligros. Los sistemas y redes informáticos no son una excepción. 
Virus, troyanos, gusanos, controles ActiveX maliciosos, páginas Web dañinas, son sólo algu- 
nas de las amenazas a las que los ordenadores están expuestos. En algunas ocasiones, los 
usuarios inexpertos o confiados actúan como vector de transmisión de estos peligros al pro- 
pagar virus o ejecutar troyanos. En otras, son los propios administradores descuidados o 
desbordados de trabajo quienes permiten la extensión de gusanos. El malware, de la contrac- 
ción de malicious software, afecta a todos los usuarios de informática por igual, tanto a nivel 
de usuario como administrativo. Se trata por tanto de una amenaza que no puede ser despre- 
ciada por ninguno. 


Tipos de malware 


La mejor forma para protegerse contra una amenaza, o por lo menos el primer paso, consiste 
en conocerla a fondo. En esta sección no se pretende llevar a cabo un análisis exhaustivo de 
los tipos de virus y de su funcionamiento, sino simplemente suministrar una serie de datos 
básicos sobre qué son y cómo se propagan. Entender sus mecanismos de actuación ayudará a 
elegir las mejores contramedidas a implantar. Dentro del malware, se abordarán los dos 
siguientes grandes grupos: 


Virus: El término virus comprende genéricamente los virus propiamente dichos, jun- 
to con troyanos, gusanos y, por extensión, bombas lógicas. 

8 Código móvil malicioso: Esta categoría comprende código escrito para hacer daño, 
pero que no encaja en ninguna de las clasificaciones anteriores. 


Los virus y sus variantes 


El término virus se suele utilizar genéricamente para denominar a una gran cantidad de 
software malicioso que se extiende entre los sistemas informáticos causando problemas de 
todo tipo. En esta sección se hablará sobre los virus propiamente dichos, los gusanos, los 
troyanos y las bombas lógicas. 


Virus 


De forma similar a los virus biológicos, los informáticos poseen dos capacidades básicas: 
propagación y destrucción. Para considerarse como virus, un programa malicioso debe ser 
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capaz de replicarse a sí mismo sin intervención del usuario. No es imprescindible que un 
virus, para ser considerado como tal, destruya o cause el mal. De hecho, son muy pocos los 
virus verdaderamente dañinos. La mayoría no van más allá de una mera molestia. Las accio- 
nes realizadas por un virus sobre un equipo una vez ha sido infectado se conocen colectiva- 
mente como carga explosiva (payload). Algunos destruyen archivos, formatean el disco duro, 
impiden que un usuario trabaje normalmente o corrompen el sistema. Otros solamente se 
replican y muestran un inofensivo mensaje anunciándose. 

Los virus normalmente necesitan de la participación de los usuarios para propagarse, ya 
sea a través del intercambio de disquetes, del envío de mensajes de correo electrónico o de la 
instalación de programas descargados desde Internet o contenidos en un CD-ROM. Aten- 
diendo al método de infección elegido, los virus se pueden clasificar como: 


Infección de archivos: Estos virus infectan archivos ejecutables, típicamente con ex- 
tensión .EXE, .COM o .BAT. De ahí que también se les conozca como virus parási- 
tos. El programa infectado se llama anfitrión y seguirá siendo utilizable. Cada vez 
que la víctima ejecuta sin sospechar nada el programa anfitrión, además se está 
ejecutando el virus. Éste realiza su acción, dañina o inofensiva, normalmente infec- 
tando otros archivos. El virus podría modificar sólo una parte del código del progra- 
ma anfitrión o podría reemplazarlo completamente con una versión infectada. Para 
propagarse más rápidamente suelen infectar archivos muy frecuentemente usados o 
que se ejecutan siempre durante el inicio del sistema. 
A Infección del sector de arranque: Estos virus infectan el sector de arranque de discos 
duros y disquetes. Todos los discos contienen un sector que almacena un pequeño 
programa que permite iniciar el sistema operativo. Estos virus se quedan en este 
sector, de manera que son activados cuando se carga el sistema operativo. Quedan 
residentes en memoria, por lo que pueden infectar nuevos disquetes que se inserten 
en la disquetera sin la protección contra escritura. Para infectarse, basta con intentar 
arrancar el ordenador desde la disquetera. Esto pasa a menudo cuando se olvida un 
disquete dentro de ella: al encender el ordenador, intenta arrancar desde el disquete 
y si éste no contiene el sistema operativo se produce un error. Ahora bien, si el 
disquete estaba infectado, el sistema también lo estará. 
A Infección del MBR: Estos virus también residen en memoria y también infectan 
discos (no archivos). La diferencia con los anteriores radica en su ubicación. El 
registro maestro de inicio (Master Boot Record o MBR) es un único sector del disco, 
normalmente el primero que se lee durante el proceso de inicio. El MBR determina 
en qué partición se encuentra el sistema operativo y a continuación redirige al siste- 
ma al sector de inicio de esa partición para que pueda cargar el sistema operativo. 
Como el MBR es extremadamente pequeño (unos 512 bytes) no puede contener todo 
el código del virus, por lo que los virus MBR redirigen el sistema a un sector de 
arranque infectado, que carga primero el virus en memoria y luego continúa con el 
proceso de carga del sistema operativo. Al igual que en el caso anterior, estos virus se 
propagan normalmente mediante el uso de disquetes. 
Multipartitos: Combinan varias técnicas de propagación en un esfuerzo por sobrev1- 
vir por más tiempo a la detección. Infectan el MBR, el sector de arranque y el sistema 
de archivos. Por consiguiente, si con un antivirus se limpia el sistema de archivos 
pero no el sector de arranque, en el próximo reinicio el sistema volverá a infectarse. 
Lo mismo ocurrirá si se limpia el sector de arranque pero no el sistema de archivos. 
S Macro: Este tipo de virus aprovecha las capacidades de automatización mediante 
macros de muchos programas de ofimática, como Word, Excel, Access, etc., para 
infectar sus archivos de datos. No debe creerse que los virus de macro se limitan a la 
suite de Microsoft Office. También afectan a Lotus, AmiPro, WordPerfect y otros 


D> 


292 Seguridad informática para empresas y particulares 


muchos programas que utilizan lenguajes de macro. Cuanto más potente es el len- 
guaje de macro, más dañino puede ser el efecto de estos virus. Los programas de 
Office utilizan el lenguaje VBA (Visual Basic for Applications), que permite leer y 
escribir archivos y ejecutar programas, todo lo que un virus necesita para propagarse. 
Debido a la facilidad con que pueden crearse estos virus, constituyen la mayor parte 
de los que circulan por el mundo, aproximadamente el 80%. 


Aunque es verdad que existen virus para todas las plataformas, lo cierto es que la inmen- 
sa mayoría, en torno al 99%, se circunscriben a la plataforma Windows. Existen múltiples 
razones por las que la práctica totalidad de virus se concentra en este sistema operativo: 


Al ser el más extendido en todo el mundo, aumenta el número potencial de víctimas 

del virus y por tanto su capacidad de hacer daño. 

A Aunque Unix también se encuentra muy extendido, al existir tantas versiones y sabo- 

res diferentes, tanto comerciales como de libre distribución, resulta difícil escribir un 

virus que afecte a una gran cantidad de versiones, lo que reduce considerablemente 
su Impacto. 

A En torno al 80% de todos los virus son de macro, es decir, principalmente para 
aplicaciones de Office como Word o Excel. No existe ningún software para platafor- 
mas distintas de Windows que se haya extendido tanto como Office. 

§ Los permisos en las máquinas Unix suelen estar mucho más restringidos, a diferen- 
cia de lo que ocurre en Windows, en especial la familia 9x, donde o bien no existe 
ningún control de acceso sobre archivos o bien suele ser mucho más permisivo. 


Dicho lo cual, los usuarios de Unix o Macintosh tampoco deberían relajarse. Aunque el 
número de virus para estas plataformas es ciertamente escaso, existir, existen. Y si uno se ve 
afectado, no le servirá de consuelo saber que la probabilidad de ataque vírico era del uno por 
ciento. 

Por consiguiente, los virus se reproducen dentro del sistema, pero no suelen propagarse 
automáticamente a otros sistemas. Necesitan que el usuario transmita un archivo infectado a 
otros usuarios, ya sea en un disquete o en un CD-ROM, por correo electrónico o poniéndolo 
en Internet. Otros usuarios que ejecuten ese programa infectado se verán a su vez infectados 
y probablemente contribuirán inintencionadamente a la infección de más usuarios. El correo 
electrónico constituye precisamente el vehículo predominante de contagio de virus, lo que 
permite su rápida difusión hoy en día. 


Gusanos 


Otra especie de la fauna vírica la constituyen los gusanos (worms). Se trata de programas que 
se replican a sí mismos saltando de sistema a sistema sin la necesidad de un anfitrión. A 
diferencia de los virus, que infectan un sistema, pero requieren que el usuario los transmita 
a otros sistemas, los gusanos se propagan a sí mismos a otros sistemas sin intervención 
humana. Los gusanos pueden utilizar otro archivo para propagarse, como por ejemplo un 
documento de Word o una hoja de Excel con una macro maliciosa, enviando copias de sí 
mismo por correo electrónico. O pueden explotar agujeros de seguridad en los sistemas para 
saltar de máquina en máquina. Los más devastadores suelen ser estos últimos, ya que no 
dependen de que un usuario abra o no un mensaje de correo, sino del número de ordenadores 
con una vulnerabilidad dada: si el ordenador posee la vulnerabilidad, el gusano continúa 
propagándose. 

Históricamente, el gusano de Morris fue el primer gusano a gran escala: en 1988 puso de 
rodillas a Internet. Explotaba agujeros en el popular programa de enrutamiento de mensajes 
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de correo electrónico, Sendmail, y en el programa de obtención de información sobre usua- 
rios, Finger. Más recientemente, en el verano de 2001, los gusanos Code Red y Nimda se 
propagaron por Internet aprovechando diversas vulnerabilidades en Internet Information 
Server (IIS). Uno de los últimos gusanos, el Blaster, aprovechaba una vulnerabilidad de 
desbordamiento de búfer en el interfaz RPC de DCOM, infectando a máquinas con sistemas 
operativos Windows NT 4.0, Windows 2000, Windows XP y Windows Server 2003. Ningu- 
no de estos gusanos necesita la colaboración humana. Basta con que el sistema esté encendi- 
do y conectado a Internet y, claro está, posea la vulnerabilidad explotada. Como ya se habló 
en la sección sobre actualización de parches, si los sistemas están correctamente parcheados, 
la mayor parte de virus de este tipo no se propagará, ya que suelen explotar vulnerabilidades 
antiguas, para las que los fabricantes han publicado parches. 


Troyanos 


De acuerdo con el relato de la Ilíada, los aqueos recurrieron a un gigantesco caballo de 
madera para ganar la guerra contra Troya. Un puñado de soldados se escondió dentro del 
caballo, que los troyanos aceptaron confiadamente. Al caer la noche, salieron de su vientre 
de madera y abrieron las puertas de la ciudad al resto del ejército, que venció fácilmente a los 
desprevenidos troyanos. 

Esta especie vírica, los troyanos o caballos de Troya (trojans), son programas o aplicacio- 
nes que, además de realizar la función para la que se adquirieron, sin que el usuario se dé 
cuenta de nada, realizan otras tareas encubiertas, normalmente hostiles. Como ocurriera con 
el famoso caballo de Troya, bajo la apariencia de un juego inofensivo o de un útil programa 
para medir la velocidad de conexión a Internet o cualquier otro disfraz, se oculta un progra- 
ma malicioso. Las posibilidades de este programa oculto son ilimitadas: destruir archivos, 
registrar la actividad del usuario o instalar una puerta trasera para el control remoto del 
equipo de la víctima. Esta última aplicación es una de las más utilizadas por los hackers. 

Una puerta trasera actúa como un servidor instalado en la máquina de la víctima que 
responde a las peticiones de un cliente remoto, abriendo así un canal de comunicaciones 
encubierto. Cuando el usuario se conecte a Internet, el troyano avisará a su creador de que la 
víctima se encuentra en línea. A partir de ese momento, el hacker podrá enviar órdenes a 
través del canal abierto para controlar remotamente el ordenador atacado: robar contraseñas, 
obtener documentos privados, ejecutar programas, espiar qué hace el usuario en cada mo- 
mento, suplantarle para enviar mensajes en su nombre, destruir la información de su disco 
duro, atacar a otros sistemas coordinadamente (ataques de denegación de servicio distribui- 
dos), ¡lo que quiera! 

Los caballos de Troya más sofisticados de la actualidad permiten un control remoto abso- 
luto de la máquina asaltada. Esta categoría de troyanos se denomina RAT (Remote Access 
Trojan). Troyanos RAT como NetBus, Sub Seven o Back Orifice (véase Figura 5.18) se han 
convertido en la peor pesadilla de miles de internautas, que asisten impotentes a la pérdida 
de control sobre sus equipos. Otros troyanos contienen una aplicación que registra todas las 
pulsaciones de teclado del usuario (keyloggers), lo que permite averiguar, entre otras cosas, 
todas las contraseñas secretas. 

Aunque suelen asociarse al contexto vírico, en realidad los troyanos no comparten nin- 
gún rasgo con los virus ni con los gusanos, ya que ni se autopropagan, característica propia 
de los gusanos, ni infectan a otros archivos, característica inherente a los virus. Los troyanos 
necesitan de la colaboración de la víctima. En primer lugar, el atacante debe conseguir que la 
víctima instale el caballo de Troya que actuará como servidor de su equipo, lo cual resulta 
facilísimo. Basta con disfrazar el programa como una aplicación útil o divertida. En segundo 
lugar, el atacante utilizará una herramienta de control para conquistar el ordenador de la 
víctima, es decir, un cliente que se conectará al servidor instalado en el PC de la víctima para 
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Figura 5.18. El temible troyano Back Orifice es una auténtica herramienta de 
administración remota de equipos Windows. 


poder enviarle órdenes y controlarlo remotamente. A partir de este momento, es como si el 
atacante se encontrase sentado en el equipo de la víctima: puede hacer lo que quiera con él. 


Bombas lógicas 


Las bombas lógicas (logic bombs) son objetos de código malicioso que permanecen dormi- 
dos o latentes hasta que se produce el evento programado para despertarlos. Cuando se pone 
en funcionamiento, la bomba lógica realiza la función para la que fue programada, que 
normalmente será destructiva. Las bombas lógicas suelen entrar en acción en una fecha 
concreta o al cabo de una serie de días. Otras veces, requieren que se den una serie de 
circunstancias más complejas, como por ejemplo, la cancelación de la cuenta de un emplea- 
do dado. De esta forma, al retrasar su ejecución en el tiempo, resulta más difícil relacionar 
sus efectos con una persona o programa determinado. Por ejemplo, es un clásico el caso de 
empleados que justo antes de ser despedidos de una empresa programan una bomba lógica 
que varios meses después destruye por completo los sistemas informáticos de la organiza- 
ción. Al haber transcurrido tanto tiempo, no se les relaciona fácilmente con el desastre. 

Evidentemente, este tipo de malware no tiene nada que ver con virus, gusanos ni troyanos. 
De hecho, ningún antivirus es capaz de detectarlas, debido a que pueden existir en cualquier 
aplicación y sus características son únicas y diferentes. Por estos motivos, resultan extrema- 
damente peligrosas y dañinas. Si el programador fue suficientemente hábil, puede que nunca 
se sepa lo que ocurrió. 


Código móvil malicioso 


Tradicionalmente se ha incluido dentro del malware a virus, gusanos y troyanos. Sin embar- 
go, como consecuencia del uso cada vez más extendido de las páginas Web y del lenguaje 
HTML, incluso dentro de los mensajes de correo electrónico, nuevas amenazas han hecho su 
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aparición en Internet, conocidas genéricamente como código móvil malicioso o contenido 
activo. Las más peligrosas son los applets de Java, los programas en JavaScript y los contro- 
les ActiveX. 


Applets de Java 


Una estrella rutilante de Internet son los applets de Java, pequeños programas que se descar- 
gan a través de la Red y se ejecutan en la máquina del cliente. Una de las razones por las que 
Java despertó tanta expectación es que sus applets pueden ejecutarse en cualquier platafor- 
ma, desde Unix a Windows XP, pasando por Macintosh, gracias a la máquina virtual Java 
(Java Virtual Machine o JVM). 

El lenguaje Java provee de funciones para acceder al disco local y al sistema, para esta- 
blecer conexiones remotas, etc. Si estos programas escritos en Java y presentes en páginas 
Web se ejecutaran sin ningún tipo de restricciones, representarían un enorme riesgo para la 
seguridad de los usuarios. 

Con el fin de restringir lo que los applets podían llegar a hacer, se implantó desde el 
comienzo un modelo de seguridad que limitaba drásticamente sus capacidades, conocido 
como modelo del patio de juegos (Sandbox model). (Véase Figura 5.19.) 

De nuevo, aunque la idea es buena, a veces, aunque con menor frecuencia que en el caso 
de JavaScript, se producen errores en la implantación de Java en los navegadores, con lo que 
vuelve a abrirse la puerta de entrada a los hackers: modificación o alteración de un sistema o 
sus recursos, denegación del uso legítimo de los recursos de la máquina, ataques a la intimi- 
dad del individuo o mera molestia. Estos programas se ejecutan por el mero hecho de visitar 
una página Web, siempre y cuando Java esté activado en su navegador, que es la opción 
predeterminada. 

Ahora bien, si se desea que un applet acceda sin restricciones a los recursos del sistema, 
entonces se puede recurrir a las firmas digitales. Los applets firmados ahora sí que pueden 
salir del recinto de seguridad gozando de alguna o todas las capacidades anteriores siempre 
y cuando el usuario lo permita. Por ejemplo, en los chats basados en Java es muy frecuente la 
utilización de applets firmados. 
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Figura 5.19. Modelo de seguridad para applets de Java descargados desde Internet. 
El código local, cargado desde el propio ordenador, se ejecuta sin 
restricciones, mientras que al código descargado remotamente desde Internet 
sólo se le permite acceder al patio de juegos, donde no puede manipular el 
sistema de archivos, ni ejecutar comandos del sistema, ni abrir conexiones de 
Internet, ni otras muchas acciones que podrían comprometer la seguridad de 
los usuarios (figura tomada de www.sun.com). 
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seo] Para desactivar la ejecución de Java en Internet Explorer, abra la pestaña de seguridad, seleccione 
Internet y pulse el botón Nivel personalizado. Busque el grupo Microsoft VM y seleccione la opción 
Desactivar Java. Si se selecciona el nivel de seguridad Alta para esa zona, también se desactiva 
Java. 


JavaScript 


JavaScript es un lenguaje de programación cuyos programas, embebidos en las páginas HTML, 
pueden conseguir interesantes efectos gráficos y animaciones en las páginas Web, compro- 
bar la validez de la entrada de formularios, abrir y cerrar ventanas, cambiar dinámicamente 
el aspecto y los contenidos de una página, realizar cálculos matemáticos sencillos y mucho 
más. 

Desgraciadamente, se producen descuidos en la forma de implantar este lenguaje en los 
navegadores, que han conducido a la aparición de agujeros que permitían a un atacante leer 
el Historial de la víctima y enviarlo a un sitio remoto, leer el caché de su disco y transmitirlo, 
enviar correos desde su máquina sin conocimiento (ni consentimiento) de la víctima, reali- 
zar un listado de los archivos de su disco duro, enviar archivos contenidos en el ordenador 
atacado, robar sus cookies, ejecutar comandos arbitrarios del sistema operativo, y un largo 
etcétera. Al igual que con Java, se ejecutan automáticamente sin más que visitar una página 
Web, siempre y cuando no haya sido desactivado. 


Para desactivar la ejecución de JavaScript en Internet Explorer, abra la pestaña de seguridad, seleccio- 
ne Internet y pulse el botón Nivel personalizado. Busque el grupo Automatización y seleccione la 
opción Desactivar para Secuencias de comandos ActiveX. La selección del nivel de seguridad Alta 
para esa zona, también desactiva JavaScript. 


Controles ActiveX 


Un tercer protagonista es ActiveX, que permite incrustar programas plenamente funcionales 
dentro de las páginas Web, haciéndolas mucho más dinámicas e interactivas. Sin embargo, 
introduce serios problemas de seguridad, ya que una vez instalados en el ordenador, si el 
usuario los acepta, a diferencia de lo que ocurre con Java y su patio de juegos, se ejecutan con 
control total sobre sus recursos, pudiendo perpetrar cualquier tipo de fechoría: modificar 
datos, borrar archivos, enviar archivos al atacante, apagar el ordenador, formatear discos 
duros, lanzar ataques de denegación de servicio contra otras máquinas, hacer que el módem 
marque un número de tarifa elevada, y todo lo que se imagine. De hecho, algunos de los 
episodios de agujeros de seguridad más graves han sido protagonizados por controles ActiveX. 
A diferencia de Java y JavaScript, de manera predeterminada el navegador pide confirma- 
ción al usuario antes de ejecutar un control ActiveX. Por desgracia, muchos usuarios, en su 
desconocimiento, pulsan alegremente el botón Aceptar. 


Por dónde se introduce el malware 


Las rutas o métodos seguidos por el malware para introducirse dentro de un sistema y consu- 
mar su actividad maliciosa se conocen como vectores de ataque (attack vectors). No deben 
confundirse con las cargas explosivas (payload). La carga explosiva determina lo que el 
malware hace, mientras que el vector de ataque determina por dónde se cuela el malware. 
Cuando se decide implantar una política de acción antivirus es necesario tener en cuenta 
estos vectores de ataque, ya que representan las vías preferidas de entrada de software mali- 
cioso. Los vectores que representan un mayor riesgo potencial para cualquier empresa o 
particular son: 


D> 


D> 


D> 
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Redes de comunicaciones públicas: El principal vehículo de transmisión de amena- 
zas es Internet y, por extensión, cualquier red de comunicaciones sobre la que la 
organización no posea control. Cuanto mayor es la conectividad exterior, mayor es el 
riesgo de entrada por esta vía. Evidentemente, el problema lo plantean programas 
que hacen uso de estas redes, como navegadores, chat, mensajería instantánea, apli- 
caciones P2P, etc. 

Invitados: La movilidad creciente de equipos, especialmente portátiles con tarjetas 
WiFi, hace que puedan conectarse a la red interna equipos que no han pasado por los 
controles de seguridad exigidos al resto de equipos de la organización. 

Archivos ejecutables: Cualquier archivo ejecutable es susceptible de realizar accio- 
nes maliciosas. Ha podido ser infectado por un virus, esconder un troyano, o poseer 
una bomba lógica, o cualquier otra manipulación que lo convierta en peligroso. 
Documentos con macros: A medida que los lenguajes de macro de archivos ofimáticos 
se vuelven más poderosos, constituyen un blanco predilecto como ruta de entrada en 
la organización. 

Correo electrónico: El correo electrónico puede ser explotado como vehículo de trans- 
misión de ataques, tanto en sus archivos adjuntos (ejecutables, documentos con macros, 
etcétera) como en el propio contenido del mensaje cuando se encuentra codificado en 
HTML. 

Medios de almacenamiento extraíble: Este vector es uno de los más peligrosos, ya 
que desafía los controles de seguridad perimetrales. Los medios de almacenamiento 
externo más frecuentemente utilizados como vector de ataque son los disquetes, los 
CD y DVD, las unidades ZIP, los discos USB (pendrives) y las tarjetas de memoria 
flash de cámaras digitales, reproductores MP3, agendas personales (PDA ), etc. Estas 
vías de entrada resultan muy difíciles de controlar. 


Qué no es malware 


No se considera como malware aquello que no ejecute código malicioso. En este sentido no 
son malware ninguno de los siguientes: 


D> 


D> 


D> 


D> 


Bromas: Se trata de programas que simulan estar borrando su disco duro o 
formateándolo o alguna otra calamidad semejante. No obstante, como programas 
que son, han podido ser infectados por un virus. 

Timos (scams): Recibirá muchos mensajes de correo que intentan camelarle para que 
compre algo, o participe en alguna operación económica para recuperar el dinero 
bloqueado de un árabe o un nigeriano. Aunque pueden dejarle sin blanca, no son 
malware, puesto que no se ejecuta ningún código malicioso. 

Spam: El correo basura no incorpora ningún tipo de código ejecutable, por lo que no se 
considera malware, aunque resulta muy nocivo por la pérdida de productividad y mo- 
netaria que representa. Se trata en profundidad más adelante en este mismo capítulo. 
Spyware: Los programas espía tampoco se consideran malware, ya que se limitan 
a espiar su actividad y muy a menudo su cometido viene indicado en el contrato 
de licencia que nadie lee. El spyware se trató en profundidad en el Capítulo 2. 
No obstante, algunas formas de spyware rozan el umbral del malware y algunos 
autores clasifican al software espía dentro de esta categoría. 

Cookies: Esos pequeños archivos de texto no contienen nada más que eso: texto. Por 
tanto, no pueden ejecutar ningún tipo de código. Pero tampoco resultan completa- 
mente inocuas. Remítase al Capítulo 2 para encontrar más información sobre ellas. 
Bulos (hoaxes): Los bulos no son malware, ya que tampoco incorporan código mali- 
cioso de ningún tipo. Los más dañinos incitan al usuario a destruir sus propios archi- 
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vos, pero el hoax en sí mismo carece de capacidad de realizar ninguna acción, 
dañina o no. 


Armas contra el malware 


Las dos herramientas más utilizadas contra el malware son los antivirus y los cortafuegos. 
Dado que los cortafuegos ya fueron tratados en profundidad en la sección “Filtrado mediante 
cortafuegos” del Capítulo 4, esta sección se centrará esencialmente en los antivirus. 


Funcionamiento de los antivirus 


El método más extendido para detectar la presencia de virus se basa en las firmas. Con 
independencia del método utilizado para la detección, si se produce un positivo, el antivirus 
puede emprender alguno de los siguientes cursos de acción: 


S1 el antivirus puede erradicar el virus, desinfecta los archivos afectados y devuelve 

el sistema a su estado prístino anterior. 

A Si el antivirus reconoce el virus, pero no sabe cómo desinfectar los archivos, los pone 
en cuarentena para su inspección manual por el administrador u otro usuario. 

8 Si el virus detectado aparenta ser muy peligroso o no se contempla la posibilidad de 
la cuarentena, el antivirus puede eliminar los archivos infectados con el fin de pre- 
servar la integridad del sistema a toda costa. 


A continuación se explica con más detalle cómo funciona la detección basada en firmas y 
la detección heurística, junto con sus puntos fuertes y flacos. 


Detección basada en firmas 


Tradicionalmente, el método preferente para la detección de virus se ha basado en las firmas. 
La idea consiste en mantener gigantescas bases de datos con la firma o huella de todos los 
virus conocidos existentes hasta la fecha. Estas firmas identifican rasgos característicos de 
cada virus, siempre presentes en su código. Cuando el motor del antivirus entra en funciona- 
miento escaneando la memoria o el disco, va comprobando que ninguno de los archivos se 
ajuste a los patrones definidos por las firmas. Este enfoque depende completamente de la 
rápida actualización de la base de datos de firmas cada vez que salen a la luz nuevos virus. Si 
no se actualizan constantemente las definiciones del malware, el software antivirus no será 
capaz de detectar a los especímenes recién aparecidos. Esta actualización debe realizarse 
siempre y tan frecuentemente como se pueda. Por lo general, el número de falsos positivos, 
es decir, de archivos limpios en los que se ha detectado un virus inexistente, es muy reduci- 
do. La detección basada en firmas es por tanto un método muy exacto. 

El mayor problema de este enfoque se halla en su imposibilidad para detectar nuevos 
ataques. Aunque se tenga el antivirus actualizado a la última, los usuarios seguirán infectán- 
dose, debido a que existe una ventana de tiempo variable, de entre unas horas y varios días, 
desde que el virus salta al mundo y las casas antivirus publican su firma. Dependiendo de la 
virulencia del ataque, durante ese lapso de tiempo serán miles o millones los equipos infec- 
tados. A veces incluso el propio motor que compara las firmas debe ser actualizado para 
detectar ciertos nuevos ataques. A menudo, si el malware ya conocido cambia ligeramente, la 
firma será incapaz de detectarlo. En este sentido, resultan especialmente peligrosos los virus 
polimórficos, que utilizan diferentes técnicas de mutación, en un intento por evadir la detec- 
ción basada en firmas. No obstante, los fabricantes de antivirus no suelen tardar en identifi- 
car las rutinas de código encargadas de la mutación, las cuales son ellas mismas inmutables, 
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por lo que puede construirse su firma. El cifrado es otra técnica comúnmente empleada por 
los virus para burlar a los detectores de firmas. Sin embargo, las rutinas de descifrado nueva- 
mente les delatan, ya que normalmente puede crearse una firma de ellas. 

Por estos motivos, se considera que las firmas están cayendo en desuso, en beneficio de 
métodos más preventivos, como la detección heurística. 


Detección heurística 


La detección heurística es similar a la basada en firmas, sólo que en vez de buscar firmas 
concretas busca fragmentos de código, instrucciones o comandos que aparentan ser malicio- 
sos y que no se encuentran en aplicaciones típicas. Este método permite por tanto detectar 
programas potencialmente maliciosos, aunque no se conozca previamente su firma. Para 
detectar este comportamiento anómalo, la mayoría de motores heurísticos utilizan sistemas 
expertos basados en reglas. Como resultado del análisis informan de la probabilidad de que 
un archivo contenga virus. Como consecuencia, la tasa de detección de malware nuevo y 
desconocido suele oscilar en torno al 15-25%, según la publicidad de las casas de antivirus. 
Su mayor limitación consiste por tanto en su reducida tasa de detección. 


El futuro de los antivirus 


Los dos enfoques anteriores adoptados por la totalidad de fabricantes del mercado han de- 
mostrado el fracaso de los antivirus ante la amenaza de nuevos virus: o no los detectan en 
absoluto o lo hacen con un 15-25% de confianza, por lo que el 75-85% de los nuevos ataques 
pasan a su través. Evidentemente, que los antivirus no sean 100% eficaces no significa que 
deban abandonarse ni que vayan a desaparecer de la noche a la mañana. Sin ellos, se está 
totalmente desprotegido. Sin embargo, lo que está claro es que las soluciones antivirus tie- 
nen que evolucionar. Entre los nuevos caminos que se están explorando en la lucha contra el 
malware, cabe citar los siguientes como más prometedores: 


Bloqueo basado en el comportamiento: La idea consiste en integrar dentro del siste- 
ma anti-malware un monitor del sistema operativo que detecte comportamiento ma- 
licioso en tiempo presente. Entonces el software bloquea las acciones potencialmente 
maliciosas antes de que tengan oportunidad de materializarse afectando al sistema. 
Los comportamientos monitorizados pueden incluir: intentos de abrir, ver, modificar 
o borrar archivos; intentos de formatear unidades de disco o realizar otras operacio- 
nes de disco irrecuperables; modificaciones en la lógica de archivos ejecutables, scripts 
de macros; modificación de la configuración crítica del sistema, como programas de 
inicio; intento de envío de mensajes de correo o instantáneos, especialmente con 
archivos ejecutables adjuntos; establecimiento de comunicaciones de red, etc. Otro 
enfoque consiste en permitir ejecutar el proceso potencialmente malicioso y analizar 
lo que éste hace en distintas áreas del sistema operativo como archivos, Registro, 
servicios, comunicaciones TCP/IP, objetos COM, cuentas de usuario, etc. Más que 
analizar acciones específicas mencionadas (intentos de abrir, borrar, etc.) lo que se 
observa es el comportamiento global del proceso, correlacionando eventos de las 
distintas áreas y tomando decisiones en base a su evolución, no en base a las acciones 
específicas. 

A Patios de juegos: Esta solución consiste en ejecutar todo software sospechoso en un 
entorno virtual protegido, lo que suele conocerse como patio de juegos (sandbox). El 
archivo analizado se ejecuta de manera controlada en este ordenador virtual, de ma- 
nera que si se detecta cualquier comportamiento hostil se clasifica como malware y 
se le impide el acceso al ordenador real. Todas las acciones dañinas perpetradas por 
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el virus afectarán al ordenador virtual, pero no al real. El objetivo no es por tanto 
bloquear comportamiento dañino en tiempo presente, como en la estrategia anterior, 
sino averiguar qué habría pasado si el programa se hubiera ejecutado en un equipo 
real sin protección. Esta solución mantiene un gran parecido con el uso de máquinas 
virtuales, descritas más adelante en esta misma sección. Aunque este tipo de enfoque 
perdió fuerza debido a su ineficacia en la detección de nuevos virus, actualmente 
algunas casas antivirus están comercializando nuevos productos basados en él. 

A Restricción de ejecución de código: Se utilizan mecanismos de restricción del código 
que puede ejecutarse en un sistema, al estilo de lo que se vio anteriormente al expli- 
car el fortalecimiento del sistema operativo. Sólo se permite ejecutar el software 
mínimo necesario para que los usuarios puedan desarrollar su trabajo, utilizando 
siempre el principio del mínimo privilegio. Cualquier programa que no se encuentre 
en la lista de software autorizado, será bloqueado sin llegar a ejecutarse. Este tipo de 
enfoque no sólo impide la ejecución de malware, sino de software espurio instalado a 
título personal por el usuario. 

8 Informática fiable: El ambicioso proyecto de Microsoft, conocido como Informática 
Fiable (Trustworthy Computing) pretende ayudar a conseguir unos niveles de fiabili- 
dad y seguridad en la informática que garanticen la confianza de los usuarios en los 
ordenadores, hoy muy erosionada. Los objetivos de la informática fiable son la segu- 
ridad: el cliente puede esperar que los sistemas sean resistentes a ataques y que la 
confidencialidad, integridad y disponibilidad de los datos queden protegidas; la 
privacidad: el cliente es capaz de controlar su información de carácter personal, con 
la confianza de que se mantiene segura y se utiliza apropiadamente; la fiabilidad: el 
cliente puede depender del producto para sacar adelante su trabajo; y la integridad de 
negocio: el vendedor de un producto se comporta de manera responsable y receptiva. 
Para la consecución de estos objetivos, Microsoft ha desarrollado un marco con cua- 
tro componentes: por diseño: incorporando la seguridad, la privacidad, la fiabilidad 
y la integridad en productos, servicios y relaciones; por defecto: incorporándolas ya 
configuradas y activadas para garantizar la protección; en el despliegue: proporcio- 
nando asesoramiento para que los clientes saquen el máximo partido de los produc- 
tos y Servicios; y comunicaciones: relacionándose con los clientes transparente, honesta 
y respetuosamente. Se puede encontrar más información sobre la estrategia de Mi- 
crosoft en www.microsoft.com/mscorp/innovation/twc. A decir verdad, a día de hoy, 
la aplicación de Trustworthy Computing no ha demostrado nada positivo ni revolu- 
cionario en la guerra contra los nuevos virus, por lo que muchos expertos la conside- 
ran como una estrategia más de marketing de Microsoft para promocionar su imagen 
de compañía comprometida con la seguridad de sus clientes. 


Gestión de antivirus 


Hoy en día nadie pone en duda la importancia de contar con un buen antivirus. De entre 
todas las inversiones en seguridad, la primera que recibirá la aprobación de la dirección es 
precisamente el gasto en antivirus. Incluso los usuarios particulares, que no suelen caracteri- 
zarse por sus grandes desembolsos en materia de seguridad, adquieren su copia de software 
antivirus. Parece por tanto que los antivirus están instalados en la práctica totalidad de em- 
presas y particulares y, a pesar de todo, cada semana saltan a los titulares de prensa noticias 
de ataques devastadores de virus, gusanos y troyanos. ¿Cómo es posible si todo el mundo 
cuenta con un antivirus? La realidad es que haber instalado un antivirus no basta. Es necesa- 
rio implantar una serie de procedimientos que aseguren que la tecnología funciona bien y los 
usuarios cooperan. La política de seguridad debería cubrir las siguientes áreas en relación a 
la protección contra virus: 
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Defensa en profundidad: protección en servidores, en clientes y en dispositivos de 
red. 

Actualización de antivirus. 

Respuesta a nuevos virus. 

Educación, formación y concienciación de usuarios. 


un DD 


Defensa en profundidad 


Una estrategia muy eficaz comúnmente utilizada en todo tipo de empresas, consiste en la 
defensa en profundidad, en la esperanza de que lo que un antivirus deje pasar, sea detectado 
por otro. Es algo parecido a la comparación entre pescar con red o con caña. Una red captu- 
rará muchos más peces que una caña. Cuanto más grande sea la red y más fina la malla, 
mayor el volumen de pescado capturado. En la defensa en profundidad, se protegen los 
sistemas a tres niveles, según se ilustra en la Figura 5.20: 


Se instalan antivirus en las pasarelas de Internet o de correo, servidores de VPN, etc., 
es decir, en el perímetro, antes de que el malware tenga oportunidad de alcanzar los 
servidores y puestos de trabajo de la red interna. Además de antivirus propiamente 
dichos, en este punto es común el uso de sistemas de detección de intrusiones, trata- 
dos a lo largo del siguiente capítulo. También es recomendable instalar algún tipo de 
filtro de contenidos en el proxy Web. Estos filtros despojan a las páginas Web de su 
contenido activo, eliminando los applets de Java, programas en JavaScript y contro- 
les ActiveX. La mayoría de programas de filtrado de contenidos mencionados en la 
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Figura 5.20. Defensa antivirus en profundidad. Compárese con la Figura 1.10. 
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sección anterior también pueden configurarse para filtrar código móvil malicioso y 
cualquier tipo de programa ejecutable (.exe, .com. bat, etc.), archivos comprimidos 
(.z1p, .rar), etc. 

Además se instalan soluciones antivirus en los servidores: de archivos, de base de 

datos, de páginas Web, de correo, de aplicaciones, etc. 

8 Por último, se instalan antivirus en los equipos de sobremesa del personal. También 
es importante instalarlos en los equipos de usuarios que acceden remotamente, me- 
diante portátiles, desde casa o desde otras oficinas. Se recomienda que se habilite el 
modo de funcionamiento en background, o en tiempo real, o autoprotección, o simi- 
lar, es decir, que esté monitorizando el sistema continuamente. Asimismo, debe 
habilitarse el escaneo de memoria, de los sectores de arranque y del sistema de archi- 
vos al iniciar el sistema. 


D> 


Como medida de seguridad adicional algunas empresas prefieren diversificar los antivirus, 
combinando productos de diferentes compañías: una marca se utiliza para los dispositivos 
perimetrales, otra para los puestos de trabajo y una tercera para los servidores. No todos los 
antivirus son igualmente buenos en todos los mercados. Algunas casas ofrecen un mejor 
servicio en la protección de escritorios, otras en la protección de pasarelas de correo, etc. 
Conviene informarse de cuál es la mejor marca en cada área a proteger. Aunque de esta 
manera se incrementa el coste administrativo y se requiere la coordinación con múltiples 
fabricantes, a la larga se ofrece la mejor protección global. 

Por su parte, la mayoría de usuarios particulares sólo debe proteger el tercer nivel, pues- 
tos de trabajo, ya que carecen de otra infraestructura. No está de más sin embargo que se 
informen de las capacidades antivirus incorporadas al correo por su proveedor de servicios 
Internet. Muchos PSI ofrecen la posibilidad de escanear en busca de malware los correos 
electrónicos que reciben antes de reenviarlos a sus clientes. 

Puede asumirse un enfoque similar de lucha en varios frentes para combatir el código 
móvil malicioso: se instalan filtros de contenido activo en las pasarelas, mientras que en los 
puestos de trabajo se restringen las capacidades de los navegadores y de los clientes de 
correo. Una útil herramienta para llevar a cabo esta restricción en los clientes es el Kit de 
Administración de Internet Explorer (Internet Explorer Administration Kit o IEAK). Este 
kit resulta muy útil para desplegar Internet Explorer en una gran cantidad de puestos de 
trabajo con una configuración diferente de la predeterminada. Se crea una configuración 
tipo y se genera un instalable, que se utilizará para instalar Internet Explorer en todos los 
equipos de manera uniforme. El sitio Web donde encontrar información y descargar el IEAK 
es www.microsoft.com/windows/1eak/default.mspx. 

Las herramientas de detección y eliminación de spyware presentan otro frente de lucha 
contra el malware. Aunque la frontera entre spyware y malware es a veces difusa, lo cierto es 
que algunos programas espía se comportan como auténticos troyanos. Si su software antivirus 
no los contempla, puede que las herramientas mencionadas en la Tabla 2.6 sí que lo hagan. 


Actualización de antivirus 


Los antivirus deben actualizarse automáticamente de forma regular. Un antivirus 
desactualizado vale casi tanto como ningún antivirus. Es muy importante estar suscrito a un 
servicio de actualizaciones automáticas del software antivirus. En función del mecanismo de 
detección utilizado por el producto, la mayoría de estas actualizaciones se limitan a descar- 
gar nuevos archivos de firmas. Si la actualización debe hacerse manualmente, conviene que 
su periodicidad mínima sea semanal. Si además se está suscrito a un servicio de alerta, debe 
actualizarse en cuanto se recibe una alerta. Siempre y cuando el proceso de actualización no 
sea centralizado, se debe formar a los usuarios sobre la manera de realización de actualiza- 
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ciones. Si se dispone de un gran parque informático, entonces resulta muy deseable disponer 
de una consola centralizada desde la cual administrar las actualizaciones de antivirus, deter- 
minar el nivel de funcionamiento de los antivirus en los equipos (algunos usuarios los 
desactivan o desinstalan porque “el sistema va lento”), obtener informes de intentos de infec- 
ción o infecciones con éxito, etc. Las consolas centralizadas permiten determinar con exac- 
titud cuán protegido se está, en lugar de cuán protegido se cree que se está. 


Respuesta a nuevos virus 


Un virus puede penetrar en un sistema informático a través de numerosos canales o vectores 
de infección: el correo electrónico, descargas de archivos a través de Web o FTP, transferencia 
de archivos con programas de chat, mensajería instantánea o intercambio tipo P2P, dispositi- 
vos de almacenamiento extraíbles como disquetes, CD y DVD, dispositivos USB y ZIP, etcé- 
tera. Basta con que un solo equipo haya sigo infectado para que el virus o gusano se extienda 
a otros equipos, o que el caballo de Troya tome control de otros equipos. Si el software antivirus 
instalado en el sistema no es capaz de detectar la entrada del malware, existen muchos 
indicadores que pueden alertar de una posible infección: sonidos o imágenes extrañas, que no 
responden a acciones del usuario; anomalías en el sistema de archivos: aparición de archivos 
desconocidos, desaparición o cambio de ubicación de archivos conocidos, pérdida de datos en 
archivos o manipulación de los datos, cambio del tamaño de los archivos, normalmente estos 
cambios son difíciles de detectar si no se ha utilizado algún sistema de control de integridad 
del sistema de archivos (vea la sección “Introducción a la detección de intrusos” del Capítu- 
lo 6); anomalías de red: normalmente son consecuencia de los intentos del virus por propagarse, 
que pueden traducirse en envío masivo de correos o uso intensivo de la red. Una vez que se ha 
detectado la incidencia de un nuevo virus, deben seguirse los pasos reseñados en la siguiente 
sección, “Detección y recuperación tras una infección”. 


Educación, formación y concienciación 


Aunque parezca chocante, la mejor línea de defensa contra el código malicioso la constitu- 
yen los propios usuarios. Sin un programa de educación, formación y concienciación en 
seguridad (Security Education, Training and Awareness o SETA), las barreras tecnológicas 
resultan a menudo ineficaces. Un programa de SETA resuelve muchos problemas de seguri- 
dad, no sólo relacionados con el código malicioso, sino también con otros muchos tipos de 
incidentes. Algunos de los problemas de seguridad más graves que se producen en organiza- 
ciones de todo tipo no tienen nada que ver con ataques tecnológicos, sino con el engaño, la 
mentira y el engatusamiento. Son los denominados ataques de ingeniería social. La tecnolo- 
gía representa una barrera eficaz contra ataques tecnológicos, no humanos. Sólo las personas 
pueden defender la organización frente a ataques humanos. Conocer las tácticas de ingenie- 
ría social y formar y educar al personal para protegerse frente a ellas es un objetivo primor- 
dial de todo plan de formación y concienciación. No basta con invertir dinero en antivirus y 
cortafuegos (barrreras tecnológicas), sino que también debe invertirse dinero en educar, for- 
mar y concienciar al personal (barrera humana). La creación de una política de seguridad 
para la organización y su distribución y comunicación es un requisito importante previo a 
todo programa de SETA. Algunos conceptos clave que deberían explicarse con claridad a 
todos los usuarios son qué hacer cuando llega un mensaje de correo con un adjunto, cómo 
distinguir programas de documentos, cómo identificar programas potencialmente peligro- 
sos, qué conducta seguir cuando se utiliza Internet, qué medidas de seguridad se han implan- 
tado, por qué les ayudan y para qué sirven, etc. Los usuarios no son “tontos”; simplemente no 
están interesados en la informática, pero pueden aprender lo necesario si alguien se toma la 
molestia de enseñarles. 
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En el caso de particulares, debe realizarse un esfuerzo de formación y concienciación 
similar con los menos familiarizados con la informática y, especialmente, con los colectivos 
más vulnerables, como son los niños y personas ancianas. La Unión Europea y el Gobierno 
español han patrocinado varias campañas de sensibilización de la sociedad, principalmente 
padres, educadores y niños, con el fin de promover un mejor uso de Internet. Por ejemplo, en 
Capitán Net (www.capitannet.org), proyecto europeo de concienciación de menores y adul- 
tos, se pueden encontrar entre otros los siguientes consejos que deberían aplicarse en los 
menores: 


1. “Intente hacer de Internet una actividad familiar. Navegue por Internet con sus hijos 
y deje el ordenador en una habitación distinta del dormitorio de los niños. Mientras 
está con ellos, puede enseñarles y alertarles sobre el uso responsable y seguro de la 
red. Aprenda de sus hijos sobre la tecnología, haga muchas preguntas, y no se sienta 
cohibido si su hijo/a sabe más que usted. 

2. Enseñe a los niños/as que nunca deben divulgar ningún tipo de información personal 
a personas que conozcan online, especialmente a las que conozcan en foros y puntos 
de encuentro en la red (chat rooms y bulletin boards). 

3. Explique a sus hijos/as que nunca deben planear un encuentro con una persona que 
hayan conocido online, y que siempre deben avisarle cuando alguien intente realizar 
un encuentro de ese tipo. 

4. Establezca reglas claras sobre el uso de Internet en su hogar, como el momento del 
día y cuánto tiempo pueden dedicar los niños a la navegación por Internet. Infórmese 
sobre los diferentes mecanismos de control que le pueden ayudar en la protección de 
sus hijos/as, softwares comerciales de filtrado, y opciones de acceso controlado que 
estén disponibles en el mercado. 

5. Indíqueles a sus hijos/as que no contesten emails o cualquier otro tipo de comunica- 
ción que pueda tener algún contenido ofensivo, y aconséjeles que abandonen inme- 
diatamente una página web o chat room que les haga sentir incómodos. Asimismo, 
dígales que deben mostrarle cualquier tipo de comunicación que hayan recibido y 
que les hagan sentir incómodos, asegurándoles que usted no se enfadará con ellos/ 
ellas y que no es su culpa. Una relación abierta y basada en la confianza es extrema- 
damente importante.” 


Otro sitio similar donde padres y educadores pueden encontrar información valiosa es 
navegacion-segura.es, promovido por la iniciativa española red.es. 


Herramientas antivirus 


Existe una oferta amplísima en productos antivirus. Microsoft mantiene una lista siempre 
actualizada de partners proveedores de soluciones antivirus en www.microsoft.com/security/ 
partners/antivirus.asp. Por comodidad, dicha lista se reproduce en la Tabla 5.9. Algunas de 
estas casas, en concreto Computer Associates, F-secure, Global Hauri, Network Associates, 
Norman, Panda, Sophos, Sybari, Symantec y Trend Micro, han participado con Microsoft en 
la creación de la Alianza de información sobre virus (Virus Information Alliance o VIA), 
cuyo objetivo consiste en proporcionar gratuitamente información detallada sobre los virus 
más significativos que afectan a los usuarios de productos Windows. Es muy interesante la 
matriz de severidad de virus, descrita en www.microsoft.com/technet/security/topics/virus/ 
matrix.mspx. 

Aquellos usuarios particulares que nunca hayan utilizado un antivirus, pueden encontrar 
diferentes productos gratuitos para uso personal si desean protección y todavía no se deciden 
a gastar su dinero en un antivirus comercial, como los listados en la Tabla 5.9. Los siguientes 


Tabla 5.9. 


Proveedor 


AhnLab, Inc. 
Aladdin 

ALWIL Software 
Authentium 


BullGuard Ltd. 

Cat Computer Services 
Computer Associates Intl 
DialogueScience, Inc. 
F-Secure Corp. 

GFI 

GRISOFT 

HAURI Inc. 


Kaspersky Lab. 
McAfee Security, a division 
of Network Associates 


Norman Data Defense Systems, Inc. 


Panda Software 
Proland Software 
Sophos 

Sybari Software, Inc. 
Symantec 

Trend Micro, Inc. 


VirusBuster Ltd. 


Zero-Knowledge Systems Inc. 
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Proveedores de soluciones antivirus. 


URL 


info.ahnlab.com/english/product/01_1.html 
www.ealaddin.com/Microsoft 
www.avast.com 
www.authentium.com/solutions/products/ 
windows32.cfm 
www.bullguard.com 
www.quickheal.com/microsoft.htm 
www3.ca.com/Solutions/Product.asp?ID=156 
www.dials.ru/english/dsav_toolkit/drweb32.htm 
www.f-secure.com/products/Microsoft 
www.gf1.com/Microsoft 
www.grisoft.com/us/us_avg index.php 
www.globalhauri.com/html/products/ 
products.html 
www.kaspersky.com 
www.networkassociates.com/us/products/ 
home.htm 
www.norman.com/products_nvc.shtml 
www.pandasoftware.com/microsoft 
www.protectorplus.com 
www.sophos.com/products/software/antivirus 
www.sybar1.com/products 
www.symantec.com/microsoft 
www.trendmicro.com/en/partners/alliances/ 
profiles/profiles/microsoft.htm 
www.virus-buster.com/en/product/antivirus/ 
microsoft 
www.zeroknowledge.com 


productos de la Tabla 5.10 han pasado los tests de ICSA Labs (www.1csalabs.com), la refe- 
rencia más respetada de la industria en certificación y pruebas de productos antivirus, lo que 
les confiere credibilidad de cara a ser utilizados con confianza. Son totalmente gratuitos y 
actualizan automáticamente sus firmas, lo cual los convierte en un excelente punto de parti- 
da para familiarizarse con este tipo de software. 

Muchas empresas están poniendo también a disposición de cualquier usuario, no sólo de 
sus clientes, servicios online de protección bajo demanda. La forma de ofrecer el servicio 
varía de unas a otras, pero en esencia éste consiste en la posibilidad de escanear archivos 
determinados en busca de virus. Si un usuario recibe un archivo por correo electrónico o P2P, 
o lo descarga de Internet, o llega a su equipo por cualquier otro medio, puede utilizar estos 
servicios de protección bajo demanda para escanear el archivo. En España los servicios más 
utilizados son Panda ActiveScan Pro (www.seguridadenlared.org) y VirusTotal 
(www.virustotal.com). Otros servicios similares son Symantec Security Check 
(www.symantec.com/securitycheck), Trend Micro HouseCall (housecall.antivirus.com), 
BitDefender Scan Online (www.bitdefender.com/scan) o Kaspersky Online Virus Scanner 
(www.kaspersky.com/scanforvirus). 
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Tabla 5.10. Soluciones antivirus totalmente gratuitas certificadas por ICSA Labs. 


Producto Fabricante URL 

AVG Free Edition Grisoft www.grisoft.com/us/us_dwnl_free.php 

BitDefender Free Edition v7 Softwin www.bitdefender.com/bd/site/ 
products.php?p_1d=24 

AntiVir Personal Edition H+BEDV www.free-av.com 

Free avast! 4 Home Edition Alwil www.asw.cz/eng/products/ 


desktop_protection/home_edition/ 
free_avast_4_home_ed.html 


Máquinas virtuales aisladas 


Las máquinas virtuales son programas que pueden emular el funcionamiento de una gran 
variedad de sistemas operativos simultáneamente en un solo equipo, incluyendo todos los 
tipos de Windows y las versiones más comunes de Unix. Una máquina virtual es equivalente 
en todo a un ordenador real, con su propia CPU, memoria, discos, acceso total a periféricos 
de entrada/salida, a red, etc. Puede ejecutar cualquier aplicación que se ejecutaría en un 
ordenador normal. Estas máquinas virtuales resultan de gran utilidad para multitud de apli- 
caciones, como desarrollo y prueba de software en diversas plataformas, evaluación de soft- 
ware, aprendizaje y formación en otras plataformas, migración a otros sistemas operativos, 
soporte técnico, etc. En el contexto de la seguridad, pueden utilizarse en entornos de usuario 
para realizar acciones potencialmente peligrosas, como navegar, leer el correo o ejecutar 
programas descargados desde Internet u obtenidos de fuentes dudosas. Si se produce un 
ataque vírico, el daño solamente alcanzará la máquina virtual. En caso de infección, simple- 
mente se borra la máquina virtual y se crea una nueva. Se recomienda copiar a un CD la 
máquina virtual recién creada para evitarse el trabajo de tener que reinstalar el sistema 
operativo y el software. Este CD permite llevarse copias de la máquina a cualquier otro 
equipo o puede utilizarse para restaurar una máquina virtual atacada. 

Existen dos grandes productos de emulación en el mercado: el más completo y el que 
mejor funciona es sin duda alguna VMware Workstation (www.vmware.com), disponible 
para anfitriones Windows y Unix (véase Figura 5.21). El segundo producto es Microsoft 
Virtual PC (www.microsoft.com/windows/virtualpc/default.mspx), disponible solamente para 
anfitriones Windows. Ambos pueden ejecutar máquinas virtuales en una gran variedad de 
plataformas. 


Detección y recuperación tras una infección 


A pesar de todas las medidas preventivas instaladas, un virus puede terminar colándose 
dentro de la organización. Una vez que se ha detectado el ataque, debe reunirse al personal 
encargado de manejar la infección. Si se dispone de una infraestructura de respuesta a inci- 
dentes (véase la sección “Plan de respuesta a incidentes” del Capítulo 6) debería utilizarse 
ésta para responder al ataque vírico. Entre las respuestas inmediatas que deben adoptarse: 


Confirmación de la infección: Algunos de los síntomas que indican la presencia de 
un virus pueden deberse a otras causas diferentes del malware. En primer lugar, 
antes de emprender ninguna acción, debe verificarse que la alerta generada se co- 
rresponde efectivamente a un ataque vírico. Puede tratarse de una falsa alarma, de 
una infección con un virus conocido o de una infección con un virus desconocido. 
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Figura 5.21. Máquina virtual VMware. 


D> 


Contención: Si se ha confirmado la hipótesis del ataque por malware, deben tomarse 

una serie de precauciones para contener la infección: desconectar de la red el sistema 

comprometido; si es posible, aislar todo el segmento de red donde se encontraba el 
equipo atacado; si toda la red ha sido infectada, desconectar del exterior. 

A Identificación de sistemas afectados: Deben descubrirse todos los sistemas que han 
sido infectados, ya que si quedase alguno sin limpiar, podría repetirse de nuevo toda 
la historia. 

A Actualización del software antivirus: En primer lugar, debe verificarse si el provee- 

dor de soluciones antivirus ha publicado una actualización para combatir la infec- 

ción. Normalmente, contarán también con un mecanismo para limpiar los sistemas 
afectados. 

Estudio del funcionamiento del virus: Una vez que se ha contenido la expansión del 

ataque, debe conocerse cómo se propaga el virus (vector de ataque), qué acciones 

realiza en los sistemas afectados (carga explosiva), qué repercusiones ocasionará en 
su entorno. Normalmente, su proveedor podrá informarle de estos aspectos. Consi- 
dere el informarse en otras fuentes como el CERT (www.cert.org), ICSA Labs 

(www.1csalabs.com), Security Focus (www.securityfocus.com), Virus Bulletin 

(www. virusbtn.com), Hispasec (www.hispasec.com), etc. 


D> 
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A Envio de muestras: Si no existe cura para el virus, o es una de las primeras organiza- 
ciones en ser atacadas, debería enviar a su proveedor una muestra del virus si dispo- 
ne de ella. 

Investigación de las causas: Existen dos poderosos motivos para analizar el inciden- 

te: primero, identificar la vulnerabilidad explotada por el ataque, con el fin de elimi- 

narla o mitigarla; segundo, reunir evidencia para una eventual acción legal. Este tipo 
de investigación se conoce como análisis forense y se trata en detalle en el siguiente 
capítulo. 

Limpieza del virus: Una vez identificados los sistemas atacados, la fecha de la infec- 

ción y las causas, deben limpiarse los archivos infectados. Este paso se realiza des- 

pués de haber reunido la evidencia, para evitar destruirla precipitadamente. Cuando 
sea posible, conviene aislar los sistemas infectados y ejecutar la utilidad de limpieza 
suministrada por el fabricante o aplicar el parche correspondiente. Dependiendo de 
la complejidad de este proceso, puede seguirse una metodología similar a la presen- 

tada en la sección sobre gestión de actualizaciones previamente en este capítulo. A 

veces habrá que reiniciar el sistema afectado utilizando un disquete de inicio limpio, 

para evitar virus de sector de arranque. En el caso peor, cuando no se conozca a 

ciencia cierta el alcance de la infección, puede ser necesario reinstalar el sistema con 

todas sus aplicaciones. Previamente se hace una copia de sus datos y posteriormente 
se procede a la reinstalación completa. 

Restauración: Si se ha seguido una política de copias de seguridad adecuada (vea la 

sección “Recuperación de sistemas” del Capítulo 3), se podrá restaurar la informa- 

ción que haya podido verse afectada por el ataque. Conocer con exactitud la fecha 
cuando se produjo la infección es muy importante para no restaurar copias que estu- 
viesen ya infectadas. 

8 Implantación de soluciones: Tras un incidente de virus hay que revisar la política de 
seguridad, examinar la adecuación de los procedimientos de seguridad adoptados, 
evaluar el funcionamiento de la infraestructura técnica de seguridad y, en definitiva, 
verificar que los procesos seguidos son corregidos para prevenir futuros incidentes. 
Como resultado de esta revisión, se realizarán cambios en la política de seguridad 
que seguramente tengan su efecto en algún cambio en la infraestructura técnica de 
seguridad para reflejar el cambio en la política. 


D> 


D> 


D> 


La ingeniería social y sus variantes 


Es un error común pensar que para entrar en un sistema informático se requiere poseer 
grandes conocimientos técnicos o que para encontrar agujeros de seguridad y puertas trase- 
ras hace falta conocer los detalles ocultos de protocolos y sistemas operativos. Al contrario, 
existe una manera mucho más sibilina y eficaz de hacerse con los secretos celosamente 
protegidos que no precisa de una sólida formación técnica. Únicamente requiere astucia, 
paciencia y una buena dosis de psicología. Se llama ingeniería social y es tan antigua como 
la mentira y el engaño en el mundo. 


Ingeniería social 


Cuando se menciona la ingeniería social en el ámbito de la seguridad informática, se engloba 
bajo el término al conjunto de técnicas de cracking destinadas a entrar en redes u obtener 
secretos, basadas, más que en la pericia técnica, en engañar a las personas para que revelen 
contraseñas y otra información que pueda comprometer la seguridad del sistema bajo ataque. 

De los millones de usuarios de informática, sólo un 1 por 100 son expertos o cuentan con 
una elevada cualificación técnica. El otro 99 por 100, una cifra abrumadora de millones de 
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usuarios, aun pudiendo ser expertos en sus respectivas áreas de especialización, desconocen 
el funcionamiento interno de los ordenadores, ignoran las sutilezas de su cultura digital y 
carecen del bagaje tecnológico para llegar al fondo de muchos de sus procesos y protocolos. 
El blanco de la ingeniería social lo constituye precisamente este 99 por 100, la gran masa de 
usuarios de informática. 

¿En qué se basa el éxito de la ingeniería social? Podría afirmarse que radica en apelar a 
las inclinaciones más profundas de la persona: el miedo, el deseo, la codicia o incluso la 
bondad. Los modernos virus de correo electrónico como el tristemente célebre ILoveYou 
invocan a estas tendencias humanas para que los usuarios los abran, colaborando así 
involuntariamente a su expansión. 

Hacerse pasar por administrador de un sistema o técnico de un proveedor de servicios de 
Internet (véase Figura 5.22) constituyen añagazas habituales para conseguir las contraseñas 
de los usuarios: de su cuenta de correo Web, de su cuenta en una tienda virtual, de su cuenta 
de acceso a Internet... Se atemoriza a la víctima haciéndole creer que ha habido un problema 
en su cuenta, proporcionando argumentos plausibles ribeteados de jerigonza tecnológica 
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Figura 5.22. Aprovechando la publicación de boletines de seguridad mensuales por parte 
de Microsoft, algunos virus que se propagan a través del correo electrónico 
se camutflan bajo el disfraz de actualizaciones de Microsoft. 

Recuerde: Microsoft nunca le enviará un ejecutable a través del correo 
electrónico. Y si descarga un parche, asegúrese siempre de que lo hace 
desde el sitio Web de Microsoft. 
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para asegurarse de que no entiende bien qué está pasando, y a continuación se le solicita su 
contraseña como único medio de restituir el servicio a su funcionamiento normal. O se le 
incita a llamar a un número telefónico supuestamente para evitar que se le efectúe un cargo 
en su cuenta de crédito, llamada que le costará una fortuna. 

Los virus también utilizan cada vez con mayor frecuencia técnicas de ingeniería social. 
Para que la víctima no sospeche, llegan en un mensaje de correo procedente de una dirección 
tomada de su libreta de direcciones personal, con un título que invita a abrir el mensaje, el 
cual viaja acompañado de un archivo adjunto (archivo de sonido, un salvapantallas, una 
tarjeta de felicitación o incluso un parche para el sistema operativo o una herramienta para 
eliminar un virus de moda). El usuario incauto ejecuta el archivo adjunto, con los consi- 
guientes resultados desastrosos. 

Si el ingeniero social cuenta con verdadero talento, ingenio y meticulosidad, son pocas 
las personas que pueden resistírsele. De hecho, tal vez sólo un 1 por 100 de los usuarios de 
informática mantendrían el tipo. Unas veces por ganas de ayudar de buena fe, otras por 
temor a perder datos o dinero, otras por querer ganarlos, lo cierto es que la ingeniería social 
triunfa como técnica de ataque, encontrando en la informática terreno más que abonado. La 
precaución y la desconfianza, como en cualquier otro timo, son las únicas defensas con que 
cuenta el usuario. Si durante el desempeño de sus funciones se topa con situaciones chocan- 
tes en las que se le demanda información sensible, nunca la revele de buenas a primeras. 
Consulte antes con un superior o con un técnico cualificado del servicio desde el que preten- 
den contactarle. Una vez más, la formación y concienciación de usuarios constituyen la 
mejor barrera contra estos ataques. 


Phising 
Imagine que es cliente del Banco X y recibe el siguiente mensaje de correo electrónico: 


¡Querido y apreciado usuario de Banco X! 

Como parte nuestro servicio de proteccion de su cuenta y reduccion de fraudes en 
nuestro sitio web, estamos pasando un periodo de revision de nuestras cuentas de 
usuario. Le rogamos visite nuestro sitio siguiendo link dado abajo. Esto es requerido 
para que podamos continuar ofreciendole un entorno seguro y libre de riesgos para 
enviar y recibir dinero en linea, manteniendo la experincia de Banco X.Despues del 
periodo de verificacion, sera redireccionado a la pagina principa de Banco X. Gracias. 
nttps://xnetparticulares.bancox.es/BEXBEBEXA F.jSp 


Si hace clic sobre el enlace del final, se abrirá la ventana de la Figura 5.23. Si sigue 
adelante e introduce su nombre de usuario y contraseña en la página de entrada del banco, 
¡enhorabuena! Acaba de dar sus datos personales a un hacker. La página de la Figura 5.23 es 
una falsificación (fake). 

En realidad no es del banco, sino que la ha creado el atacante. Cuando introduce en ella sus 
datos, el hacker se queda con ellos. Se trata de una variedad de los ataques de ingeniería social 
descritos en el apartado anterior, conocida como phishing. Aunque actualmente 
este tipo de ataques está circunscrito casi en exclusiva a los países de habla anglosajona, tam- 
bién empiezan a llegar a España, como lo atestiguan el mensaje y la Figura 5.23, ambos reales. 

Una vez más, la mejor línea de defensa la constituye la educación y concienciación de los 
usuarios. Protegerse de estos ataques es bien sencillo: 


En primer lugar, su banco jamás le enviará un mensaje instándole a conectarse. 
A En segundo lugar, es de esperar que en su banco cuenten con personal capaz de 
redactar un mensaje de 10 líneas sin faltas de ortografía y en correcto castellano. 
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Â Por último, cuando llega el momento de introducir su nombre de usuario y contrase- 
ña, en todos los bancos se usa siempre un canal protegido por SSL. En este caso, 
puede verificar que la dirección que aparece en el certificado coincide con la del 
URL, como se explicó en la sección “Cifrado de los datos en el navegador” del Capí- 
tulo 3. 

$ Como medida de precaución adicional, nunca acceda a un sitio sensible al que acude 
habitualmente siguiendo un enlace que le llegó por correo o encontró en otra Web. 
Escriba siempre la dirección a mano o guárdela en sus favoritos. No debe fiarse de la 
dirección que aparece en la barra de direcciones de su navegador ya que podría estar 
falsificada o podría ser legítima pero no corresponder a su banco. Por ejemplo, si la 
dirección de su banco es www.bancox.com, un atacante podría registrar la dirección 
www.bancox-online.com, de manera que no levante sospechas. Registrar estas direc- 
ciones es muy fácil: sólo hace falta una tarjeta de crédito robada y una dirección de 
correo de Yahoo! o Hotmail. 


No obstante, estos ataques no se reducen a bancos. El phising también se utiliza para 
obtener acceso a cuentas de Amazon, eBay u otras tiendas en línea donde los usuarios dados 
de alta han depositado sus números de tarjeta de crédito. 


uee) Para saber la dirección de una página Web que no tiene barras ni menús, haga clic con el botón 
secundario del ratón en cualquier lugar de ella excepto sobre una imagen y seleccione Propiedades. 


Bulos (hoaxes) 


El peor virus anunciado por CNN. Un nuevo virus ha sido descubierto recientemente que 
na sido clasificado por Microsoft como el virus más destructivo que haya existido. Este 
virus fué descubierto ayer por la tarde por McAfee, y no hay arreglo aún para esta 
Clase de virus. Este virus destruye simplemente el “Sector Zero” del disco duro, donde 
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Figura 5.23. Página Web de un banco falsificada para robar las contraseñas de los 
usuarios ingenuos. 
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la información vital de su función es guardada. Este virus actúa de la siguiente 
manera: Se manda automáticamente a todas las personas en tu lista con él titulo “ A 
Card for You.” Al solo abrir el supuesto mensaje ya mencionado, la computadora se 
congela para que el usuario tenga que apagar y encender la computadora nuevamente. 
Cuando las teclas ctrl+alt+del son presionadas, el virus destruye el Sector Zero, 
destruyendo permanentemente el disco duro. Ayer en unas cuantas horas este virus causo 
pánico en Nueva York, según las noticias del CNN. Esta alerta fué recibida por un 
empleado de Microsoft. Así que no abran ningún e-mail con el nombre de “A Virtual Card 
for You” En cuanto recibas ese e-mail, BÓRRALO, aunque conozcas a la persona que te lo 
envió!!! 


ENVÍA ESTE E-MAIL A QUIENES CONOZCAS. 

! ! PROTEJÁMONOS ¡ ¡ 

COPIA ESTE CORREO PARA TODOS TUS AMIGOS Y RECUERDA: SI LO ENVÍAS A TUS AMIGOS, NOS 
BENEFICIAS A TODOS..... i 


Seguro que más de una vez ha recibido un correo semejante. Se trata de los bulos (hoax), 
falsos anuncios de virus que se expanden por la Red en progresión geométrica al ser reexpe- 
didos por usuarios confiados de buena fe. Se suele producir un efecto de bola de nieve, de 
manera que la difusión del hoax crece exponencialmente, expandiendo así fábulas sin senti- 
do sobre virus y añadiendo desconcierto a la ya confusa mitología urbana sobre ellos. 

En general, tan sólo suponen una molestia menor, haciendo perder su tiempo al que los 
lee y cándidamente los reenvía. También añaden tráfico innecesario a la ya congestionada 
Internet, pudiendo en algunos casos extremos llegar a colapsar servidores de correo electró- 
nico. Aunque no se sabe muy bien por qué se crean, se barajan explicaciones como la recolec- 
ción de direcciones de correo electrónico para spammers, bromas de mal gusto, intentos de 
difamar a una persona o compañía o acrecentar el desconocimiento generalizado sobre los 
virus. 

Si bien un simple mensaje de texto no puede ser dañino en sí mismo, recientemente está 
saltando al ciberespacio una nueva generación de hoax que intentan camelar al usuario 
despistado para que borre de su disco duro archivos vitales para el funcionamiento del orde- 
nador, con la excusa de tratarse de peligrosísimos virus. El caso más aireado fue el del virus 
sulfnbk.exe en 2001. 

En un correo distribuido masivamente a millones de usuarios por usuarios de buena fe, se 
advertía contra el espantoso virus sulfnbk.exe. Se proporcionaban instrucciones detalladas 
sobre cómo localizar el infame archivo y borrarlo. Lo que el usuario que seguía las instruc- 
ciones confiadamente desconocía es que en realidad dicho archivo forma parte del sistema 
Windows. 


HOLA A TODOS, : 

HE TENIDO ESTE VIRUS Y PUESTO QUE ESTAS EN MI LIBRETA DE DIRECCIONES PUEDES TENERLO TÚ 
TAMBIÉN. EL VIRUS ERMANECE DORMIDO DURANTE 14 DÍAS LUEGO DESTRUYE EL DISCO DURO. 

SI LO TIENES, ENVÍA ESTE E-MAIL A TODO EL MUNDO DE TU LIBRETA DE DIRECCIONES: 
INSTRUCCIONES PARA ELIMINAR EL VIRUS 

1. VE A “INICIO” LUEGO A “BUSCAR” 

2. EN LA “LA BUSQUEDA DE ARCHIVOS O CARPETAS” TECLEA sulfnbk.exe ESTE ES EL NOMBRE DEL 
VIRUS. 

3. EN EL “BUSCAR” ASEGÚRATE QUE ESTAS BUSCANDO EN LA UNIDAD DE “C” 

4. PULSA EL BOTON DE “BUSQUEDA” 

5. SI APARECE DICHO ARCHIVO (ES UN ICONO FEO NEGRUZCO CON NOMBRE (sulfnbk.exe) NO LO 
ABRAS. 
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6. HAZ CLIC SOBRE EL ARCHIVO CON EL BOTÓN DERECHO - VE A BORARRA Y HAZ CLIC CON EL 
IZQUIERDO. 

7. TE PEDIRÁ QUE SI QUIERES MANDARLO A LA PAPELERA DE RECICLAJE, DI QUE SI. 

8. VE A TU ESCRITORIO (DONDE TIENES TODOS TUS ICONOS) Y HAZ DOBLE CLIC EN LA PAPELERA 
DE RECICLAJE. 

9. HAZ CLIC EN EL ARCHIVO CON EL BOTÓN DERECHO EN sulfnbk.exe Y BORRALO ENTERO DE NUEVO 
O VACIA LA PAPELA POR COMPLETO. 

SI ENCONTRARAS ESTE ARCHIVO EN TU “C”, ENVÍA ESTE E-MAIL A TODAS LAS DIRECCIONES DE TU 
LIBRETA, PORQUE ES ASÍ COMOSE PROPAGA. 

RECUERDA QUE SE ACTIVA EN 14 DÍAS DESPUÉS Y QUE DESTRUYE TU DISCO DURO. 


Todos los bulos suelen seguir el mismo esquema por lo que resultan muy fáciles de iden- 
tificar: jerga pseudocientífica para confundir al lector, búsqueda de credibilidad por asocia- 
ción con entidades de gran prestigio, ausencia de fechas, uso irritante de las mayúsculas y 
petición de redistribución masiva. Así que si recibe alguno, hágase un favor a sí mismo y a 
sus amigos y no lo reenvíe, que bastante spam y demás detritus circula ya por la Red. 


Timos (scams) 


El correo electrónico se ha erigido en vehículo predilecto de transmisión de timos (scams). 
Todo usuario del correo recibirá montañas de mensajes que intentan camelarle para que 
compre algo fraudulento, o participe en alguna operación económica para recuperar el dine- 
ro bloqueado de un árabe o un nigeriano. 

Los timos más frecuentes incluyen: 


D> 


D> 


D> 


D> 


El fraude en subastas: Después de enviar su dinero, la víctima del fraude recibe un 
producto de menor valor que el prometido o de ningún valor en absoluto. Otra va- 
riante consiste en que un timador le solicita sus datos para enviarle la mercancía, con 
el compromiso de devolverla si no es de su agrado o hacer una transferencia bancaria 
en caso contrario. El timador utiliza los datos de la víctima como dirección de envío 
para realizar una compra en un comercio electrónico, sirviéndose de una tarjeta ro- 
bada para el pago. A la víctima le llega la mercancía, que con toda seguridad será de 
su agrado, por lo que hará la transferencia, encontrándose con que tiene en su poder 
mercancía robada, mientras que a otra víctima le han efectuado un cargo en su tarjeta 
de crédito. 

El abuso de tarjetas de crédito: Típico en sitios pornográficos en que se le solicita un 
número de tarjeta de crédito exclusivamente para verificar la edad y luego se le pasan 
cargos difíciles de cancelar. 

El Marketing Multinivel, también conocido como timos de pirámides: Se le promete 
hacer dinero a través de productos y servicios que usted mismo venderá, así como a 
través de los vendidos por gente que usted reclute. A la hora de la verdad, resulta que 
sus clientes son otros distribuidores, no el público, y sus beneficios se evaporan. 
Oportunidades de Negocio y Timos “Trabaje desde casa”: Se le promete el oro y el 
moro en un negocio del que usted será su propio jefe, ganando cantidades fabulosas 
de dinero. Por supuesto, después de que invierta sus ahorros en esta maravillosa 
oportunidad de negocio, resulta que todo era humo. 

Esquemas de inversión y Timos tipo Hágase Rico Rápidamente: Puede perder su 
dinero confiando en programas o servicios que supuestamente predicen la evolución 
del mercado con una precisión del 100%. En este grupo suelen insertarse timos como 
el del nigeriano, que tiene bloqueada una cantidad fabulosa de dinero y le pide su 
colaboración para moverlo. 
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D> 


Fraude en Viajes/Vacaciones: Compañías fraudulentas le mienten respecto a sus pa- 
quetes de viajes, ofreciéndole alojamiento y servicios de inferior calidad a la pagada, 
o le cargan por conceptos que no aparecían en el contrato. 

A Fraudes telefónicos: Se le promete acceso ilimitado a sexo virtual gratis y sin tarjetas 
de crédito. Se debe estar atento a la letra pequeña y a las ventanas de aviso, porque 
mientras se ven toneladas de fotos y vídeos porno utilizando ese programa que hay 
que instalar en el ordenador (dialer), el módem se desconecta y marca un número de 
tarificación adicional (906, 907 y 806). Ni que decir tiene, la factura de teléfono será 
astronómica. Estos programas están envueltos en la polémica a pesar de estar regula- 
dos por la ley. Si decide usarlos, sea consciente de lo que se le cobrará. 

8 Los fraudes de Atención Sanitaria: ¿Sufre una enfermedad incurable? No se preocu- 

pe, aceite de serpiente a la venta a módico precio que curará ésta y cualquier otra 

dolencia incurable. Si tiene suerte, el producto no le curará, pero no le causará nin- 
gún daño que le deje peor. 


En su mayor parte, los timos y fraudes explotan la ingenuidad y buena fe de las víctimas 
y también su codicia o lujuria. El afán por hacer dinero fácil o encontrar chollos puede 
perder a más de uno. Si parece demasiado bueno para ser verdad, no lo dude, no es verdad. 
Desconfiar de la palabra GRATIS y de los precios increíbles, huir de compañías con las que 
no existe ningún otro medio de contacto además de una página web y nunca instalar progra- 
mas sospechosos para obtener contenidos gratuitos son normas básicas para evitar el fraude. 


Tarjetas de crédito 


El miedo irracional a que a uno le roben su número de tarjeta de crédito se ha convertido en 
la bestia negra del comercio electrónico. Nadie pone ninguna pega al camarero del restau- 
rante que desaparece con la tarjeta de crédito durante unos minutos o al empleado del peaje 
de autopistas que la tiene en su poder durante unos segundos. A menudo, incluso se revela 
alegremente a través del teléfono para reservar entradas en espectáculos o pagar billetes de 
avión. Sin embargo, cuando se trata de entregarla a un comercio electrónico en Internet todo 
son reticencias y temores. Una de las mejores soluciones existentes en la actualidad para 
reducir el riesgo de robo y desfalco son las tarjetas virtuales, servicio financiero proporciona- 
do por la gran mayoría de bancos con presencia en Internet. 

Las tarjetas de crédito virtuales le permiten realizar compras con total confianza, sin 
miedo a que hackers puedan robarla. Se trata de números de tarjeta de crédito válidos, con 
una fecha de caducidad en general de un mes y con un importe máximo preasignado. Imagl- 
ne que visita una tienda virtual y decide comprar un CD de música, que cuesta 15 euros 
más 2 euros por gastos de envío, en total, 17 euros. Cuando llega a la página en la que se le 
solicita su número de tarjeta de crédito, se conecta a su banco y crea una nueva tarjeta virtual 
asociada a cualquiera de las tarjetas de crédito que posea. Como máximo disponible indica la 
cantidad de 17 euros. El banco generará un número de tarjeta válido, con una fecha de 
caducidad de un mes. Introduce estos datos en la tienda virtual y confirma el pago. La tienda 
le cargará los 17 euros, con lo cual, al haberse agotado el disponible, cualquier intento pos- 
terior de nuevos cargos en la tarjeta son rechazados por el banco. En el caso más que impro- 
bable de que un hacker capturase su información de pago y la utilizase antes que el comercio, 
no perdería más que 17 euros. (Véase Figura 5.24.) 

En conclusión, las tarjetas virtuales constituyen una de las mejores soluciones actuales a 
los problemas de inseguridad y falta de confianza generados por el comercio electrónico. Su 
única limitación reside en la imposibilidad de adquirir bienes en los que para poder retirar- 
los haya que presentar la tarjeta de crédito utilizada en la compra, como por ejemplo, las 
entradas de cine. 
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Figura 5.24. Las tarjetas de crédito virtuales permiten comprar en Internet con confianza. 


Como medida de cautela adicional, verifique con periodicidad semanal los movimientos 
de sus tarjetas de crédito. Si observa un cargo que no ha realizado, anúlelo. En caso de 
litigio, mientras el comerciante no presente un recibo con la firma del cliente, algo imposible 
en compras a través de Internet, éste siempre puede rechazar el cargo y se le dará la razón. 
Quien está verdaderamente desprotegido en caso de uso ilegítimo de tarjetas de crédito es el 
comerciante, no el cliente, y desde luego nunca el banco, pero ésa es otra historia. 


Protección contra spam 


Todo usuario habitual del correo electrónico ha sido o será muy pronto una víctima más del 
spam. Se trata de una plaga que carcome lentamente Internet, persiguiendo insidiosamente a 
los usuarios del correo, por muy cautelosos que sean, haciéndoles perder tiempo y dinero. 
Tiene su origen en gentes sin escrúpulos que buscan promocionar sus productos o servicios 
enviando millones de correos indiscriminadamente a inmensas bases de datos de usuarios, 
con la flaca esperanza de que alguno pique, sin importarles si colapsan servidores o encien- 
den las iras de los destinatarios. 

Por lo general anuncian productos sin el más mínimo valor, engañosos y más o menos 
fraudulentos. Además de la publicidad, otros más dañinos contienen timos: los esquemas 
piramidales, el timo de la lotería o, uno de los más famosos, el del nigeriano. Una variación 
del spam con timo dentro procede del phising, ya tratado anteriormente. Tampoco hay que 
olvidar los Web bugs, que permiten a un spammer determinar qué direcciones de correo son 
válidas e incluso asociar direcciones de correo a direcciones IP. Para ocultar sus huellas, 
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utilizan todo tipo de métodos ilegítimos, como aprovecharse de servidores de correo 
desprotegidos, ordenadores personales de empresas y particulares infectados con troyanos 
tipo Back Orifice, sitios Web de envío de postales, cuentas de prueba en proveedores de 
servicio, etc. 

Este azote está extendiéndose en los últimos tiempos de forma tan preocupante como los 
virus O los hackers. El número de usuarios de Internet, y por tanto de víctimas potenciales, 
crece exponencialmente y así lo hace el de casas que deciden anunciarse por este infame 
medio. Según datos de Brightmail, una empresa de software antispam recientemente adqui- 
rida por Symantec, el 65 por 100 del correo que circulaba por Internet a fecha de junio de 
2004 era spam y la cifra no para de subir. 

Desde el momento en que se aventura por el ciberespacio, puede recibir correo no solici- 
tado de cualquier empresa, desde su propio proveedor de Internet o de correo Web, que ya lo 
advierte en la letra pequeña del contrato, hasta otras que se hacen con su dirección comprán- 
dola por menos de 5 euros en un CD con millones de direcciones, o que utilizan programas 
de recolección de direcciones en páginas Web, grupos de noticias, foros de discusión y deba- 
tes, canales de chat, etc. Nadie que use Internet escapará por mucho tiempo de sus implaca- 
bles garras. 


El problema del spam 


El spam representa un gran coste para empresas y particulares: 


Cuesta tiempo: Mientras está leyendo las cabeceras y decidiendo si un mensaje es o 

no spam, se está perdiendo tiempo. Cuanto mayor es el volumen de spam recibido, 

más tiempo se pierde. Por otro lado, los administradores invierten gran cantidad de 

horas formándose primero y luchando diariamente contra el spam después. 

Cuesta ancho de banda: Mientras se está descargando el correo basura, se está des- 

aprovechando ancho de banda para otras tareas más productivas. 

Cuesta dinero: Instalar medidas de protección, como software en los servidores de 

correo y en los clientes, o hardware especializado de lucha contra el spam, cuesta 

dinero. Sin contar el dinero perdido por reducción de la productividad. 

Cuesta espacio: El spam ocupa espacio en el disco duro del servidor y de los usuarios. 

Además, las herramientas de lucha contra el spam no suelen eliminarlo directamen- 

te, sino que lo almacenan en una zona de cuarentena durante un tiempo. 

Cuesta la propia privacidad: Los Web bugs permiten asociar direcciones de correo 

con direcciones IP, sincronizar cookies, saber si un usuario abrió o no el mensaje de 

spam, etc. (vea la sección “Protección frente al spyware y programas espía” del Capí- 

tulo 2). 

8 Cuesta disgustos: Algunos usuarios incautos se dejan seducir por el reclamo del spam 
y caen en alguna de sus trampas y timos (scams), como el phishing. 


D> 


D> 


D> 


D> 


¿Le parecen pocas razones para luchar contra él? En las siguientes secciones se explica 
cómo combatirlo en el servidor de correo y en el cliente. Esta última opción resultará sobre 
todo indispensable para usuarios particulares que carecen en su infraestructura de red de su 
propio servidor de correo. 


Lucha en el servidor 


Cuanto antes se ataje el problema del spam, es decir, cuanto más cercano a su fuente, más 
tiempo y dinero se ahorrará a los usuarios finales. Si tiene una empresa con 20 empleados y 
deja que cada uno se las apañe con su propio spam, estará multiplicando por 20 el tiempo 
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perdido y la probabilidad de que algún ataque se filtre junto con el spam. Al igual que ocurría 
con los virus, cuanto antes se limpie el correo, más se reducen las oportunidades de que un 
usuario final cometa un error. Por tanto, utilizando las técnicas de filtrado en el servidor de 
correo, se obtiene la ventaja de que el personal mejor cualificado de la empresa (el adminis- 
trador) será el encargado de combatir el spam. Además, resulta más sencillo concentrar los 
esfuerzos de filtrado en un solo punto que en 20 dispersos. 


Inspección del sobre 


Los mensajes de correo electrónico incluyen una serie de cabeceras, muchas de las cuales el 
usuario final no ve, que constituyen el análogo digital del sobre. Dichas cabeceras contienen 
la información necesaria para que los servidores de correo sepan cómo gestionar el correo, a 
quién enviárselo, qué hacer si la dirección no existe, cómo retransmitirlo, etc. Los mensajes 
de correo no se envían directamente desde el ordenador de un usuario al de otro en un solo 
paso. En el proceso generalmente seguido, el emisor primero debe conectarse a un servidor 
de envío de correo, a través del protocolo de transferencia simple de correo (Simple Mail 
Transfer Protocol o SMTP). Este servidor puede estar localizado en la propia organización, 
o en el proveedor de servicios de Internet (PSI) o ser un servidor de correo gratuito como 
Hotmail o Yahoo! Por consiguiente, el mensaje de correo abandona el equipo del cliente y es 
enviado al servidor de correo SMTP. En el mensaje aparece la dirección del destinatario, del 
tipo “fulano(Vsudominio.com”. El servidor de correo debe localizar dónde se encuentra la 
estafeta de correos de sudominio.com, para enviarle el mensaje. Así pues, el mensaje irá 
saltando de servidor en servidor hasta que finalmente llegue a la citada estafeta. Nuevamen- 
te, este equipo que actúa de estafeta, puede encontrarse en la organización del usuario desti- 
natario, en su PSI o en un servicio de correo Web. En cualquier caso, el destinatario habrá 
instalado en su puesto de trabajo un cliente de correo que se conecta a través del protocolo de 
estafeta 3 (Post Office Protocol 3 0 POP3) o del protocolo de acceso a mensajes de Internet 
(Internet Message Access Protocol o IMAP) a dicho servidor para descargar todo el correo 
que le haya llegado. En cada salto, los distintos servidores por los que va pasando el mensaje 
añaden sus propias cabeceras Received, donde informan de su dirección IP y nombre de host, 
de quién ha sido recibido el mensaje y a quién va dirigido, así como la fecha y hora en que 
sucedió todo. El servidor final que recibe el correo puede inspeccionar este sobre, sin exami- 
nar para nada el propio contenido del mensaje, para decidir si existe alguna información 
inconsistente o incoherente. Las comprobaciones que se pueden realizar a cabo en este punto 
incluyen: 


Determinar si el nombre del host que envió el correo se encuentra en una lista negra. 
A Comprobar si los destinatarios del mensaje son válidos. 
§ Averiguar si el host que envió el mensaje está autorizado para enviar correo desde su 
dominio. 


Listas negras 


Existen varias listas negras actualizadas constantemente con las direcciones de servidores 
que envían spam o tienen alguna relación con el envío de spam. Estas listas se suelen deno- 
minar genéricamente Listas Negras de Spam en Tiempo Presente (Real-time Spam Black 
Lists o RBL). Existen distintos tipos de listas: de spammers conocidos, como las listas de la 
Tabla 5.11, y de servidores de retransmisión de spam, recogidos en la Tabla 5.12. Estas 
últimas incluyen dominios utilizados por los spammers para retransmitir mensajes (relay). 
Normalmente se trata de víctimas inocentes que ignoran que su servidor de correo está sien- 
do utilizado para enviar spam. 
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Tabla 5.11. Listas de spammers conocidos. 


Nombre URL Descripción 


Spamhaus block list (SBL)  sbl.spamhaus.org Base de datos basada en DNS 
actualizada en tiempo 
presente con las direcciones 
IP de spammers 


comprobados. 
Arbitrary black spammers.vónet.org Lista negra muy agresiva 
hole list (ABL) que bloquea correo 


de servidores tan populares 
como yahoo.com 
o hotmail.com. 


Domain Name System dun.dnsrbl.net Lista de direcciones IP 
Real-time Black List de máquinas que o son 
(DNSRBL) fuentes directas de spam 


o son pools de modems desde 
los cuales todo lo que se 
recibe es spam. 


VOX DNSBL vox.schpider.com Lista de servidores que envían 
spam, compilada por 
phydiux.com y 
sus colaboradores. 

REC Ignorant (Whois) whois.rfc-1gnorant.org Lista de direcciones IP que no 


cumplen con los RFC. 


Este tipo de listas no está exento de polémica. Cada lista sigue sus propios criterios a la 
hora de incluir o quitar dominios de la misma. Algunas son muy restrictivas, eliminando 
dominios con millones de usuarios, tipo aol.com o hotmail.com, mientras que otras son más 
permisivas. Lo cierto es que utilizando un filtro en el servidor de correo basado en estas listas 
la cantidad de spam recibido se reduce drásticamente. Conviene que se familiarice con las 
características de cada una, las pruebe y, sobre todo, no dé pie a que le incluyan en una de 
ellas. 


Destinatarios válidos 


Uno de los muchos retorcidos mecanismos utilizados por los spammers para recopilar direc- 
ciones de correo válidas consiste en los ataques de diccionario: se envían mensajes al servi- 
dor de correo de una organización utilizando un diccionario con todos los nombres de usuario 
imaginables: jose(dorganizacion.com, joseluis(Vorganizacion.com, joselito(Morganizacion.com, 
etcétera. Por cada nombre de destinatario incorrecto el servidor de correo responderá con un 
mensaje de error informando al spammer de que el usuario no existe. Si no llega dicho 
mensaje, entonces el spammer asume que acertó con un nombre válido. Conviene protegerse 
contra este tipo de ataque, ya que además de revelar innecesariamente nombres de usuario 
del servicio de correo electrónico de la organización, puede ralentizar el funcionamiento del 
servidor durante el curso del ataque. La mayoría de servidores de correo actuales incorporan 
la función de definir una lista de usuarios válidos, rechazándose los mensajes recibidos para 
cualquier otra dirección sin enviar mensajes de error. 
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Tabla 5.12. Listas de retransmisión abierta (Open Relay). 


Nombre URL Descripción 
Open Relay Database relays.ordb.org Incluye direcciones IP 
(ORDB) de retransmisores de SMTP 
comprobados. 
Not Just Another dnsbl.njabl.org Lista de fuentes de spam 
Bogus List (NJABL) conocidas y potenciales: 


retransmisores abiertos, 
proxies abiertos, pasarelas 
HTTP abiertas, pools de 
direcciones IP dinámicas, etc. 
Spam and Open Relay dnsbl.sorbs.net Lista de retransmisores 
Blocking System (SORBS) 
abiertos que envían correo 
a servidores SORBS. 


OsiruSoft relays.osirusoft.com Lista de retransmisores 
abiertos. 
SPEWS spews.relays.osirusoft.com Lista negra de áreas 
de Internet cuyo tráfico 
se bloquea. 
Distributed Server list.dsbl.org, Direcciones IP de servidores 
Boycott List (DSBL) multihop.dsbl.org abiertos en Internet. 


unconfirmed.dsbl.org 


Marco para la política de remitentes 


Ya se sabe que falsificar el remitente de un correo resulta trivial. Si tiene un equipo con 
Windows XP/2000/2003 no tiene más que instalar IIS junto con el servicio SMTP y ya puede 
dedicarse a enviar millones de correos desde su equipo. Puede crear una cuenta de correo con 
Outlook Express utilizando como dirección de remitente cualquier dirección que quiera y 
enviar mensajes desde esa cuenta. O puede conectarse a su servicio SMTP directamente 
utilizando un script. En todos los casos, siempre puede poner la dirección de remitente que 
desee, que nadie, absolutamente nadie en Internet se parará a validarla. Desde su casa u 
oficina puede enviar un mensaje de correo con el remitente george.w.bush(vWwhitehouse.gov, 
que llegará sin ningún problema al destinatario. 

Esta debilidad del protocolo SMTP, heredada de los viejos tiempos cuando los usuarios 
de Internet eran pocos y casi se conocían todos, está siendo explotada diariamente por los 
spammers para falsificar correos. Como resultado, recibirá en su buzón rebotes de correos 
que usted nunca envió. La explicación: un spammer lo envió usando como remitente su 
dirección de correo. La solución: comparar la dirección del remitente con la dirección IP del 
equipo que envió el mensaje. Si la dirección IP pertenece a un equipo dentro del dominio del 
remitente, entonces el mensaje se considera válido. En caso contrario, es decir, si ha sido 
falsificado, entonces se rechaza y no se pierde más tiempo con él. Más adelante se ilustra este 
problema con un ejemplo. 

La iniciativa conocida como marco para la política de remitentes (Sender Policy 
Framework o SPF) tiene como objetivo combatir la falsificación de remitentes en un esfuerzo 
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por desenmascarar spam, gusanos y virus. Hasta ahora, los propietarios de los dominios 
especifican el nombre de los servidores que reciben mensajes desde el exterior (registros 
MX). La idea consiste en especificar así mismo los servidores autorizados para enviar men- 
sajes desde el dominio. De esta forma, cuando un servidor cualquiera de Internet recibe un 
mensaje de correo, puede comprobar en esos registros si la dirección de la máquina que lo 
envió pertenece al dominio que aparece en el remitente. Por ejemplo, imagínese que se ha 
recibido el siguiente mensaje de correo: 


Return-Path: <george.w.bushtwhitehouse.gov> 
Received: from PC-1 (14.Red-80-20-61.pooles.rima-tde.net [80.20.61.14]) 
O gonza loane o yo Com aro UL AAA AS NOE CESI) 


Según Return-Path, el mensaje ha sido enviado por george.w.bush(vwhitehouse.gov al 
destinatario gonzalo(aneurocrypt.com. Si el administrador del dominio whitehouse.gov ha 
publicado la lista de máquinas que pueden enviar correo desde ese dominio, puede compro- 
barse si la dirección de la máquina que envió el mensaje corresponde o no con una de esas 
máquinas. En este caso, la dirección del equipo real que envió el mensaje es 14.Red-80-20- 
61.pooles.rima-tde.net, cuya dirección IP es 80.20.61.14, que claramente no corresponde 
con una máquina del dominio whitehouse.gov. En este ejemplo, se deduce que el mensaje fue 
enviado desde una conexión ADSL de Telefónica utilizando un servidor SMTP instalado en 
el propio equipo del emisor. 

Este tipo de comprobaciones puede realizarse en el servidor de correo entrante de la 
organización para rechazar todos aquellos mensajes cuyas cabeceras demuestren que la di- 
rección del remitente ha sido falsificada. Todo lo que se requiere por parte de las empresas es 
que añadan una línea a sus registros MX indicando la dirección de los servidores que pueden 
enviar mensajes desde su dominio, tal y como se detalla en el sitio Web de la iniciativa SPF, 
en spf.pobox.com. 

Microsoft ha emprendido su propia batalla contra el spam, proponiendo un enfoque simi- 
lar a SPF, al que ha bautizado como Caller ID, por analogía con el mundo telefónico. Cuando 
se recibe un fax de otra empresa, en el mensaje de fax aparece el número de teléfono desde el 
que se envió el fax (caller ID). Si el texto del fax afirma que ha sido enviado por la empresa 
X, pero resulta que el teléfono desde el que se envió no pertenece a esa empresa, entonces 
dicho fax resulta como mínimo sospechoso. La iniciativa Caller ID pretende unificar sus 
propios conceptos con los de SPF, de manera que se consiga su rápida adopción por todos los 
servidores de correo de Internet, se asegure la escalabilidad y el reparto justo de la carga de 
tener que identificar el correo falsificado, apertura y extensibilidad. Esta solución no evita 
que se envíe spam. Lo que consigue es que se detecte con mayor facilidad y a la larga persi- 
gue descorazonar a los spammers, que verán impotentes cómo su correo basura ya no llega a 
los usuarios. 

Por su parte, Yahoo!, otro importante actor en el mundo del correo electrónico, ha pro- 
puesto su propia iniciativa denominada DomainKeys, en torno a la misma idea de detectar 
falsificaciones. 


Inspección del contenido 


A menudo las medidas anteriores no alcanzan a determinar si un correo debe eliminarse. Las 
listas negras no siempre son adecuadas: listan por error dominios que no envían spam o 
dominios con millones de usuarios. Todavía son pocos los dominios que utilizan la iniciativa 
SPF. Validar los usuarios no protege frente al spam que va dirigido a usuarios válidos. Por 
consiguiente, para decidir con mayor seguridad es necesario inspeccionar el contenido de los 
mensajes. Es evidente que esta tarea debe automatizarse para eludir dos problemas: por un 
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lado, la privacidad de los usuarios debe garantizarse; por otro, se debe poder inspeccionar un 
gran número de mensajes de tamaño arbitrario en poco tiempo. Por desgracia, estas compro- 
baciones sobre el contenido van a consumir un tiempo mucho mayor que las llevadas a cabo 
sobre las cabeceras y su resultado no será tan fiable. Si el volumen diario de mensajes mane- 
jado por el servidor es de cientos de miles, pronto se consumirán tantos recursos que será 
necesario adquirir más hardware y más potente para el proceso de filtrado de spam. A pesar 
de todo, si se quiere reducir el impacto del spam, no queda más remedio que valerse de este 
tipo de filtros. Las tecnologías de filtrado más extendidas incluyen: 


El reconocimiento de patrones típicamente encontrados en mensajes de spam. 
A La adhesión a redes de colaboración para el informe sobre mensajes de spam. 
§ La utilización de motores de inferencia basados en filtros Bayesianos. 


Reconocimiento de patrones 


Se trata de una estrategia similar a la seguida por los antivirus para reconocer la presencia de 
malware. Se instalan una serie de filtros con reglas constantemente actualizadas para discri- 
minar el spam del correo legítimo. Estos patrones pueden incluir desde cabeceras hasta 
contenido de mensajes. El uso de palabras como Viagra, Cialis, Sexo, Porno, Millonario, 
ajustan con los patrones y entonces se dispara la regla que bloquea el mensaje. Evidentemen- 
te, los patrones tienen que ser cada vez más sofisticados para evitar los trucos de los spammers 
para pasar a través de los filtros. Se trata de todo un arte, en el que compiten la astucia e 
ingenio de spammers y administradores. Por cada nueva regla o patrón creado, el spammer 
idea un nuevo método para saltárselo. Pronto se crea un nuevo patrón para dar cuenta de ese 
método. El spammer desarrolla entonces una nueva estrategia, que es a su vez contrarrestada 
por nuevos patrones, y así hasta el fin de los tiempos. 

El problema de estos filtros es que no son perfectos. Si se crean muy restrictivos, entonces 
se les colará muy poco spam, pero en contrapartida, bloquearán mucho correo legítimo (de 
ahí la importancia de las zonas de cuarentena). Por el contrario, si los filtros son más 
permisivos, dejarán pasar mucho spam, aunque bloquearán poco correo legítimo. Se trata 
por tanto de llegar a un equilibrio entre ambos. Para mejorar su eficacia, se suele asignar una 
valoración a cada patrón, de manera que los signos más evidentes de spam puntúan más que 
los ambiguos. Además, también se asigna una puntuación negativa a los signos de correo 
legítimo. Cuando se ha evaluado un mensaje conforme a estas reglas, se suman los puntos 
positivos y negativos y se calcula la diferencia. Si el resultado global es positivo, el mensaje 
se considera spam. Si es negativo, entonces se considera legítimo. Un buen ejemplo de este 
tipo de filtros lo constituye SpamAssassin (spamassassin.taint.org). 


Redes de colaboración 


Estas redes se basan en la idea de que, dado que el spam implica el envío masivo de correo a 
millones de destinatarios en todo el mundo, cuando alguien recibe un mensaje de spam es 
seguro que alguien más ya habrá recibido antes ese mismo mensaje y lo habrá identificado 
como spam. La comunidad de usuarios colabora identificando a las fuentes de spam. De esta 
forma, cuando un usuario de la comunidad clasifica un correo como spam, se añade a una 
lista negra accesible por el resto de usuarios de la misma comunidad. La ventaja de este 
enfoque frente al reconocimiento de patrones radica en que la decisión la toma un humano, 
por lo que puede asumirse que es correcta. Por añadidura, cuanto mayor sea el número de 
personas que identifican un mensaje como spam, mayor será la confianza en esa decisión. 
Por ejemplo, se pueden establecer umbrales: si un mensaje ha sido identificado como spam 
por más de 1000 usuarios, entonces se considera que es spam. Existen varias redes de cola- 
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boración para el filtrado del spam. El servidor de correo debe instalar además un software 
para ponerse en comunicación con ellas. Algunas muy utilizadas son Distributed Checksum 
Clearinghouse (www.rhyolite.com/anti-spam/dcc), Pyzor (pyzor.sourceforge.net) y Vipul's 
Razor (razor.sourceforge.net). 


Aprendizaje Bayesiano 


Uno de los mayores problemas de los dos enfoques anteriores es que requieren la participa- 
ción de humanos: en el primer caso, para configurar los patrones de spam y mantener la lista 
de patrones siempre actualizada; en el segundo, para añadir a la lista negra los mensajes de 
spam. En ambos casos, el administrador no descansa jamás, o debe suscribirse a un servicio 
de actualización. El tercer enfoque busca precisamente el eliminar la participación humana 
del proceso. Los filtros de aprendizaje Bayesiano hacen precisamente lo que su nombre su- 
giere: aprender. Durante un tiempo, se les alimenta con mensajes de correo, tanto spam 
como legítimos, y para cada mensaje se le dice al filtro: “esto es spam”, “esto no es spam”. El 
filtro va autoconfigurándose de manera automática, analizando los patrones de los mensajes 
de spam y de los mensajes legítimos. Después de este período de aprendizaje, se le puede 
dejar solo, que ya sabrá cómo distinguir un tipo de correo de otro. Si el filtro se equivoca, se 
le puede corregir, de manera que su precisión sigue mejorando indefinidamente. Aunque el 
método de aprendizaje Bayesiano tampoco es perfecto, en general, su efectividad es la más 
elevada de todos los enfoques revisados. Los resultados que pueden alcanzarse son sorpren- 
dentes: hasta un 99,5 % de spam detectado con un 0% de correos legítimos bloqueados. 

Un buen lugar donde encontrar software antispam basado en el aprendizaje Bayesiano es 
SpamBayes (spambayes.sourceforge.net). Por otro lado, Internet Message Filter en el servi- 
dor Microsoft Exchange también incorpora capacidades muy rudimentarias basadas en apren- 
dizaje Bayesiano. Sin embargo, la solución de Microsoft presenta el inconveniente de que el 
archivo de datos no lo define el cliente, sino que viene incorporado en el producto. Al no ser 
adaptado a las necesidades de cada cliente, nunca podrá ser igual de eficaz. Otra consecuen- 
cia indeseable es que la definición de lo que es correo legítimo queda accesible a todo el 
mundo, facilitándose así por tanto la creación de spam que se salte dichos filtros, pública- 
mente conocidos. Como esta definición es única y común a todos los usuarios, ya que no hay 
forma de entrenar o modificar los filtros, cuando un spammer ha conseguido burlarlo lo ha 
conseguido para el 100% de usuarios. Por último, el filtro está sintonizado para mensajes en 
inglés, por lo que en España pierde aún más efectividad. En definitiva, se trata de una 
solución a medias, poco recomendable. 


Qué hacer con el spam 


No se puede arriesgar a borrar sin más todo el correo que haya sido clasificado como spam. 
Ningún filtro es perfecto, por lo que puede estar seguro de que habrá mensajes legítimos que 
acaben en la pila del spam. La práctica habitual consiste en habilitar una zona de cuarentena 
en la que se archiva todo el correo clasificado como spam. Esta zona debe ser accesible por 
los usuarios para que puedan comprobar si entre la montaña de spam se encuentra ese correo 
que están esperando de un cliente y parece no llegar nunca. 


Lucha en el cliente 


La lucha en el cliente contra el spam tiene un gran inconveniente: el mensaje basura se ha 
tenido que descargar hasta el cliente, lo que consume ancho de banda y espacio en su equipo. 
No obstante, para que el usuario no pierda tiempo examinando la bandeja de entrada, puede 
utilizar filtros en Outlook Express o herramientas comerciales más sofisticadas de filtrado 
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de spam que se encargarán de borrar el mensaje o enviarlo a una carpeta especial (la zona de 
cuarentena). 


Capacidades antispam de Outlook Express 


La triste verdad es que Outlook Express no incorpora la más mínima capacidad para luchar 
contra el spam, aunque puede recurrirse a algunos sencillos trucos. S1 sistemáticamente 
recibe mensajes de un mismo remitente, puede bloquearlo. Outlook Express le permite blo- 
quear los mensajes de un determinado remitente o dominio (el nombre que aparece a conti- 
nuación del símbolo @), de manera que vayan directamente a la carpeta Elementos eliminados. 


1. Abra un mensaje del remitente que desee bloquear y haga clic sobre su nombre o 

dirección de correo con el botón secundario. 

En el menú contextual que se le presentará, seleccione Bloquear remitente. 

3. También puede bloquearlo sin necesidad de abrir mensajes, simplemente seleccio- 
nando un mensaje y ejecutando Mensaje>Bloquear remitente. 

4. Si se arrepiente y desea quitar un nombre de la lista Remitentes bloqueados, selec- 
cione Herramientas>Reglas de mensajes>Lista de remitentes bloqueados. Desde 
ahí puede agregar, modificar o quitar remitentes y nombres de dominio. 


ad 


El método anterior permite bloquear correo no deseado de spammers que ya le han escri- 
to una vez y continúan haciéndolo. Ahora bien, no le protegerá de spam de remitentes de los 
que todavía no ha recibido mensajes. Para ello debe recurrir al uso de filtros. Su primera 
línea de defensa consiste en definir unos buenos filtros para que el correo basura no aparezca 
en su bandeja de entrada, haciéndole perder tiempo. En primer lugar conviene crear una 
nueva carpeta llamada “Spam” o similar y definir filtros para almacenar en ella todo el 
correo basura que le llegue. Mediante un refinamiento sucesivo de las reglas de filtrado, 
llegará con el tiempo a filtrar un porcentaje muy elevado del spam. 

Para crear una nueva carpeta: 


1. Haga clic con el botón secundario del ratón sobre Carpetas locales y seleccione 
Carpeta nueva en el menú contextual. 
2. Escriba el nombre de la nueva carpeta, “Spam”, y pulse Aceptar. 


Una buena parte de los mensajes de spam no están dirigidos específicamente a su direc- 
ción de correo, sino a listas de distribución en la que han incluido su dirección. Por tanto, el 
primer filtro contendrá la regla de enviar a la carpeta “Spam” todo correo que no vaya 
dirigido expresamente a su dirección de correo. Como es posible que esté suscrito a listas de 
correo y boletines, los cuales tampoco envían sus mensajes directamente a su dirección de 
correo, tendrá que especificar todas las excepciones a la regla anterior, de manera que no 
deje de recibir los mensajes de listas legítimas. 


1. Para definir la regla seleccione Herramientas>Reglas de mensaje>Correo y pulse 
el botón Nueva. 

2. En la ventana Regla de correo nueva defina la regla de la siguiente forma. En el 
primer cuadro de lista, verifique la casilla La línea Para contiene personas. 

3. En el segundo cuadro de lista, verifique la casilla Moverlo a la carpeta espe- 

cificada. 

En el tercer cuadro de lista, haga clic sobre el enlace contiene personas. 

5. En la ventana Seleccionar personas, escriba su propia dirección de correo y pulse 
Agregar. 


e 
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6. A continuación, vaya escribiendo una a una las direcciones que aparecen en la línea 
Para de los mensajes que recibe de listas de distribución, boletines, etc., a los que 
esté suscrito y pulse el botón Agregar para cada una. Cuando haya terminado, pulse 
Opciones. 

7. En la nueva ventana, seleccione la opción Mensajes sin las siguientes personas. 

8. Pulse Aceptar dos veces. 

9. En el tercer cuadro de lista, haga clic sobre el enlace especificado. En la ventana 
Mover, seleccione la carpeta “Spam” y pulse Aceptar. 

10. Escriba un nombre para la regla, por ejemplo, “Para desconocido”. 

11. Pulse Aceptar dos veces. 


Durante un tiempo, examine la carpeta “Spam”, ya que posiblemente encuentre en ella 
correos procedentes de remitentes legítimos que se le olvidó incluir en las excepciones a la 
regla anterior. Con el tiempo, llegará a definir perfectamente todos los correos legítimos, por 
lo que todo lo demás podrá descartarlo sin problemas como spam. 

Sin embargo, observará que siguen llegándole correos basura porque están dirigidos a su 
propia dirección de correo personal. Para estos correos debe definir nuevas reglas, basadas 
en los contenidos del asunto del mensaje, como por ejemplo, eliminar los correos cuyo asun- 
to contengan la palabra “millonario”, “Viagra” o “sexo”. (Véase Figura 5.25.) 


1. Cree una nueva regla que envíe a la carpeta “Spam” los mensajes cuyo asunto con- 
tengan una palabra típica de los correos basura. 

2. Pulse repetidamente el botón Agregar para añadir tantas palabras sospechosas como 
se le ocurran. 

3. Cuando haya terminado, pulse Aceptar. 


Con este procedimiento, puede definir tantas reglas como desee para filtrar todos los 
correos con palabras sospechosas. El límite lo pone su imaginación. Para evitar filtrar más 
de la cuenta, utilice excepciones, como por ejemplo no borrarlo si procede de un remitente en 
su libreta de contactos. 


jun 


Seleccione la regla recién creada y pulse Modificar. 

2. Verifique la casilla de la condición La línea De contiene personas y pulse el enlace 
contiene personas. 

3. Pulse el botón Libreta de direcciones, seleccione todos sus contactos y pulse el 
botón De->. 

4. Pulse Aceptar y se añadirán todos sus contactos a la regla. 


Como en la regla anterior, modifíquela pulsando Opciones para que se aplique sólo si el 
mensaje no contiene como remitente a alguna de las direcciones de su libreta de contactos. 

Visite periódicamente la carpeta “Spam” para comprobar que no ha borrado correos que 
no eran spam. Si sigue llegando spam a su bandeja de entrada, añada nuevas reglas, cada vez 
más refinadas, hasta que con el tiempo se vea casi libre de él. 


Capacidades de Outlook 2003 


Outlook 2003 incorpora un filtro de spam basado en aprendizaje Bayesiano, pero que com- 
parte todos los mismos problemas descritos anteriormente al hablar de Internet Message 
Filter incorporado a Exchange. En su estado de desarrollo actual merece la pena utilizar otra 
solución de filtrado de spam de terceras partes, como las descritas en el siguiente apartado. 
(Véase Figura 5.26.) 
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Reglas de mensaje 


Reglas de correo | Reglas de noticias | Remitentes bloqueados | 





Estas reglas że aplicarán a los mensajes de correo. 


CECA 


Nueva regla de correo n2 24 

Posible $ parm: — | 

Alarma de Malware [Copiar] 
| 


Mueva regla de correo n? 25 
Antivirus ATY: 


Descripción de la regla [haga clic en un valor subrapado para modificarlo]: 


Aplicar esta regla después de la llegada del mensaje 
La linea Asunto contiene "viagra" o "sex" o "penis" o "young" o "vicodin" o "cialis" a 


"gallego:” 
Mowerlo a la carpeta Spam 





Figura 5.25. En Outlook Express también puede crear sus propios filtros para eliminar el 
spam antes incluso de llegar a verlo. 


Opciones de correo electrónico no deseada x] 


Opciones | Remitentes seguros | Destinatarios seguros | Remitentes bloqueados | 














Fr 1 Gutlook puede mover los mensajes que parezcan ser correo no deseado 
a la carpeta especial Correo electrónico no deseado, 


Seleccione el nivel de protección que desea establecer para el correo mo 
deseado: 


sin Filtrado automático. El correo procedente de remitentes 
bloqueados se mueve ¡igualmente a la carpeta de correo electrónico 
no deseado, 


Seoane nanana aaa aa aa aaaea aaaea a aaa aaa aa aaan ` 


G Bajo: mover a la carpeta Correo electrónico mo deseado el correo : 
que pertenezca evidentemente a este tipo, ; 


C Akto: la mayoria del correo detectado es no deseado, pero también 
puede que se detecte correo normal, Compruebe con Frecuencia la 
carpeta Correo electrónico no deseado. 


Ù sólo listas seguras: sólo se enviará a su Bandeja de entrada correo 
de personas o dominios que se encuentren en su lista Remitentes 
seguros 0 Destinatarios seguros. 


Eliminar permanentemente el correo sospechoso de ser no deseado 
en lugar de moverlo a la carpeta Correo electrónico no deseado 


Cancelar | Aplicar | 


Figura 5.26. Filtrado antispam incorporado en Outlook 2003. 
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Software personal antispam 


Los pequeños trucos descritos en el apartado anterior no son excesivamente efectivos contra 
mensajes que alteran la grafía de las palabras: “Vlagra” o “V.1.a.g.r.a” o “V-1-a-g-r-a” O 
“Viaaagraaaa” en vez de “Viagra”. Cualquiera de las primeras variantes se saltará la regla 
definida con la palabra “Viagra”. Por desgracia, con las capacidades incorporadas en Outlook 
Express poco más puede hacer. Si el volumen de spam que sigue inundando su buzón a pesar 
de las reglas anteriores es intolerable, puede plantearse la posibilidad de recurrir a una de las 
muchas herramientas antispam de cliente que están saliendo al mercado. En la Tabla 5.13 se 
listan algunas de las mejores entre las gratuitas. Todas se basan en el uso de filtros de apren- 
dizaje Bayesiano. 


Woy Si utiliza un software antispam, asegúrese de que nunca borra los correos presuntamente spam, sino 
que los almacena en una zona de cuarentena. Por muy perfecto que sea su motor de filtrado, siempre 
eliminará correos que no son spam. 


Clientes de correo alternativos a Microsoft 


Como se ha visto, Outlook Express carece de capacidades antispam. Puede utilizar herra- 
mientas como las listadas en la Tabla 5.13, o pasarse a un cliente de correo completamente 
distinto. El cliente de correo de Mozilla (www.mozilla.org/mailnews) incorpora de manera 
integrada un filtro de aprendizaje Bayesiano para combatir el spam. 

Otra alternativa a Microsoft que también incorpora protección contra spam basada en 
filtros Bayesianos es el ya clásico Eudora (www.eudora.com), cuya tecnología ha sido baut1- 
zada como SpamWatch. 


Algunos consejos para eludir el spam 


Ya se ha repetido en numerosas ocasiones que la eliminación completa del spam es imposi- 
ble. Sin embargo, sí que se puede mitigar el problema, reduciendo drásticamente el volumen 
de spam recibido. A continuación se ofrecen una serie de consejos sencillos que todo usuario 
puede poner en práctica para mantener a raya el spam. 


Cree direcciones extra: Saque partido de los numerosos servicios gratuitos de correo 
Web, como Yahoo! o Hotmail, para crear muchas direcciones de correo diferentes y 
utilizar cada una para distintas funciones. De esta forma, puede utilizar una para 
publicar en los grupos de noticias, otra para suscribirse a listas de distribución, otra 


Tabla 5.13. Herramientas gratuitas de cliente para combatir la lacra del spam. 


Programa URL 

G-Lock SpamCombat www. glocksoft.com/sc 

K9 www.keir.net/k9.html 

Outlook Security Agent www.outlooksecurityagent.com 
SpamFighter www.spamfighter.com 
Spamihilator www.spamihilator.com 


SpamPal www.spampal.org 


D> 
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para cuando se la pidan al registrarse para descargar un programa, otra para dar a la 
gente que conoce en el chat, y así sucesivamente. De esta forma, si alguna dirección 
se ve infestada por el spam, simplemente se olvida de ella y crea otra nueva. Dicho 
sea de paso, muchos servicios de correo Web como Yahoo! incorporan filtros antispam 
realmente sofisticados, por lo que la incidencia del spam en sus cuentas es mínima. 
Utilice direcciones de correo de usar y tirar: Existen servicios en Internet que le 
permiten crear un número ilimitado de direcciones de correo Web, que reenvían a 
una dirección única todo el correo que reciben. Cada vez que necesita dar su direc- 
ción de correo a alguien, se conecta al servicio, genera una nueva dirección y la 
utiliza. El correo que reciba en esta nueva dirección será reexpedido a su propia 
dirección. Si empieza a recibir spam en esa dirección, puede desactivar la cuenta o 
eliminarla por completo. Sneakemail ofrece un servicio tal y además gratuitamente, 
en sneakemail.com. Si cada dirección solamente se entrega en un sitio, este tipo de 
servicios sirve además para desenmascarar a spammers. Yahoo! también ofrece un 
servicio parecido. 

Lea bien antes de firmar: Algunos comerciantes en línea tratan de camelarle para 
que consienta en recibir correos en los que no está interesado en lo más mínimo. 
¿Cómo puede defenderse? Lea cuidadosamente cada casilla que se refiera a “avisos 
de actualizaciones” o “noticias de socios especiales”. A veces, debido a una redacción 
ambigua, resulta difícil decidir si debe verificar o no la casilla para que no le intro- 
duzcan en la lista de buzoneo. Si toma la decisión errónea, recibirá publicidad de esa 
empresa y a lo mejor hasta les autoriza a enviarle publicidad de otras empresas aso- 
ciadas con la primera. 

No inserte direcciones de correo en páginas Web: Otro lugar típico de recolección de 
direcciones de correo son las páginas Web, tanto personales como de empresa, ya que 
en unas y otras suelen aparecer listadas las direcciones del personal de la plantilla o 
del creador de la página o una dirección de contacto. Los spammers utilizan en estos 
casos robots que buscan automáticamente direcciones de correo en páginas Web, 
según unos ciertos patrones como la existencia de una (W. Una solución consiste en 
no introducir ninguna dirección de correo en sus páginas Web. Si desea que tras 
visitar su sitio la gente o clientes le envíen sus comentarios, sugerencias o peticiones, 
no tiene por qué usar necesariamente el correo como medio de contacto. Puede ser- 
virse de un sencillo formulario que sus visitantes deberán rellenar y enviar. 

Utilice formas alternativas para representar su dirección de correo en páginas Web: 
En aquellos casos en los que por el motivo que sea no se pueda utilizar un formulario 
y se requiera el uso del correo electrónico, no tiene por qué escribir la dirección en 
sus páginas. Puede insertar una imagen con su dirección de correo, de manera que 
cualquier humano será capaz de reconocerla, pero impedirá que la reconozcan los 
robots. Otra forma de incluir su dirección de correo en su página Web, pero sin llegar 
a escribirla, de manera que los robots no puedan dar con ella, es utilizar JavaScript. 
Normalmente, los robots buscan cadenas de texto de la forma “algo(Walgo.mas”. 
Suponga una dirección de correo como fulano(vempresa.com. Allí donde desee que 
aparezca esta dirección, puede incluir en su lugar este código en JavaScript: 


<script language="Javascript”> 
document.write (“fulano”) 
document.write (unescape("%40”)) 
document.write (“empresa.com”) 
SOI 


328 Seguridad informática para empresas y particulares 


8 Nunca responda a un mensaje de spam. Muchos spammers utilizan el cebo de añadir 
un enlace que debe pulsar para borrarse de su lista o le explican que si responde al 
mensaje escribiendo tal o cual asunto, será dado de baja de su lista. En realidad se 
trata de una vil artimaña para confirmar que su dirección de correo es válida. Una 
posibilidad consiste en responder con un mensaje de error, haciendo creer al spammer 
que su dirección de correo es incorrecta. El programa Bounce Spam Mail 
(www.snapfiles.com/get/bounce.html) le ayuda a crear estos mensajes de error de 
forma convincente para que el spammer le tache de su lista. 
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Ser capaz de saltarse la seguridad no le 
convierte en un hacker más de lo que ser capaz 
de arrancar un coche con un puente eléctrico 
le convierte en un ingeniero mecánico. 


ERIC RAYMOND, "How To BECOME A HACKER”, 2001. 
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no de los pilares básicos de la seguridad es la monitorización de los sistemas, tanto 

para saber si las medidas establecidas de seguridad están activadas como para detec- 

tar qué puede estar ocurriendo. No se puede asumir sin más que tras haber instalado 
las contramedidas de seguridad el sistema resistirá todos los ataques. El presente capítulo 
trata de introducir al lector en el apasionante campo de la monitorización de sistemas desde 
el punto de vista de la seguridad. Adicionalmente se explicará el proceso de investigación de 
lo ocurrido una vez que un incidente de seguridad se ha producido. 

Para poder entender la auditoría de sistemas, primero se estudiará el proceso del ataque 
de un hacker, a continuación se procederá a examinar la detección de intrusos y los sistemas 
para la prevención de los mismos. Para terminar, se detallarán todas las tareas de auditoría y 
análisis forense de sistemas. En resumen, los temas a tratar en este capítulo son: 


Cómo atacan los hackers. 

Sistemas de detección de intrusiones. 
Sistemas de prevención de intrusiones. 
Auditoría de sistemas. 

Análisis forense de sistemas. 


um DD DD» 


Con el fin de entender todo lo relevante respecto a la investigación de seguridad es bueno 
tener cada concepto asociado a la temporalidad de su ocurrencia, es decir, antes de una 
intrusión se pueden activar controles para prevenir, disuadir y, lo más importante en este 
capítulo, para detectar. Durante una intrusión, los sistemas activados podrán alertar de la 
existencia de un intruso en base a los eventos disparados, ya sea directamente o mediante 
correlación de varios eventos. Los controles correctivos pueden aplicarse durante la intru- 
sión, como por ejemplo, la reconfiguración dinámica de las reglas del cortafuegos o el blo- 
queo de cuentas tras varios intentos de inicio de sesión fallidos, o, más frecuentemente, 
cuando ya ha pasado la intrusión y se han analizado sus causas y debilidades que la propicia- 
ron. Adicionalmente, durante la intrusión se pueden monitorizar los sistemas para capturar 
toda la información relevante que puede ser utilizada posteriormente para el estudio del 
ataque. Para finalizar, después de una intrusión se obtienen las evidencias del ataque y se 
analizan en el proceso denominado análisis forense. Si han ocurrido daños, los controles 
recuperativos, tales como estrategias de copia de seguridad o planes de recuperación ante 
desastres, ayudarán a retornar a la normalidad en el menor tiempo posible. (Véase Figu- 
ra 6.1.) 









Controles 
| Recuperativos 


Correctivos 
| 


Detectivos | Análisis 
Preventivos | forense 
Disuasorios 
j Tiempo 





Antes Durante Despues 


Figura 6.1. El antes, durante y después de una intrusión. 
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Cómo atacan los hackers 


Los atacantes de los sistemas en Internet no difieren en su objetivo de los atacantes tradicio- 
nales. En definitiva, realizan una tarea ilícita para la cual se valen de un sistema informático. 
Los atacantes de sistemas informáticos se suelen clasificar en dos grandes grupos: aficiona- 
dos (script kiddies) y profesionales, utilizándose tradicionalmente la palabra hacker para 
definir a los benignos y cracker a los malignos. Existen multitud de nombres para catalogar 
cada acción. A continuación se detallan los principales grupos: 


Cracker: Vulnera los sistemas informáticos con fines lucrativos. 
Hacker: Vulnera sistemas informáticos sin fin lucrativo. 
Phreaker: Vulnera sistemas telefónicos. 

Warez: Copia ilegal de software. 


un DD» 


Los atacantes por tanto cometen delitos informáticos, los cuales son difícilmente tipificables 
como tales debido a la novedad de los mismos, si bien existen algunos que están claramente 
diferenciados, como por ejemplo: 


Delitos en los que el ordenador es un medio para obtener acceso a información digital 
para alterarla, verla o destruirla. 


Â Copia ilegal de software y material protegido intelectualmente, vulneración de los 
-~ derechos de autor. 
A Servirse del ordenador para desproteger un medio digital, como la copia ilegal de 


tarjetas de crédito. 
8 Delito de posesión de información en formato digital relevante para otras actividades 
delictivas. 


Los motivos que mueven al intruso a realizar sus hazañas pueden ser diversos: búsqueda 
de notoriedad en los medios, obtención de información privilegiada, deseo de ganancia eco- 
nómica, etc. Sea cual sea su fin, es difícil y probablemente no siempre cierto el establecer una 
pauta de comportamiento exacto para la anatomía de un ataque hacker (o intruso). Si bien 
los principales pasos están bien definidos, estos se realizan muchas veces de forma automá- 
tica por lo que no siempre quedan claras las fronteras. 

Un ataque dentro del mundo digital es muy similar a uno en el mundo real, aunque 
también es cierto que existen una serie de factores que lo hacen cuando menos especial. Los 
ataques pueden ser realizados a distancia: mientras que en el mundo real por ejemplo para 
acceder a la caja fuerte de una empresa hace falta 1r hasta ella, en los ataques vía ordenador 
el intruso puede encontrarse a miles de kilómetros. Los ataques pueden ser automatizados: 
piénsese por un momento en la posible manipulación de los redondeos en las operaciones 
bancarias, en las que poco dinero en muchas operaciones dan un resultado de muchos núme- 
ros. Los ataques informáticos también son fácilmente repetibles, por lo que uno realizado 
contra un sistema puede ser realizado sobre uno con las mismas características. 

Existen cuatro vectores posibles de ataque a través de los cuales un intruso puede 
introducirse en una red, ilustrados en la Figura 6.2: 


Conectarse a la red a través de Internet: Es el vector de ataque más extendido porque 
es el más accesible a todo tipo de atacantes, en cualquier lugar del mundo. Típica- 
mente, el mecanismo de protección más eficaz es el cortafuegos, discutido en la 
sección “Filtrado mediante cortafuegos” del Capítulo 4. 

Utilizar un ordenador conectado directamente (físicamente) a la red: Si el intruso es 
capaz de entrar en la organización y encuentra un punto de red libre o practica una 
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red inalámbrica 


Internet módem 


reg 
cs 





acceso físico 


Figura 6.2. Vectores de ataque a través de los cuales un intruso puede introducirse en 
una red. 


conexión mediante un tap (vea más adelante la sección “Utilización de un IDS para 

detectar ataques”) o se conecta a la línea telefónica en la fachada, dispondrá de 

acceso directo a la red. Más peligroso todavía es que acceda a ordenadores desatendi- 
dos. El mecanismo de protección más eficaz contra este tipo de ataques es la seguri- 
dad física, sobre la que se aportaron algunas pinceladas en la sección “Protección del 

entorno” del Capítulo 3. 

Llamar a un servicio de acceso remoto (Remote Access Server o RAS): Los servicios 

de acceso remoto consisten en un servidor con uno o más módems que dan acceso a 

la red interna a través de la red telefónica pública (RTB). Además de los servidores 

RAS, cualquier equipo con un módem conectado configurado para responder 

automáticamente a las llamadas entrantes puede convertirse potencialmente en un 

vector de ataque. Las políticas de seguridad, la configuración segura de los servido- 
res de acceso remoto y VPN y la utilización periódica de war dialers constituyen 
buenos mecanismos defensivos. 

S Conectarse a través de una red inalámbrica insegura: La mayor parte de redes 
inalámbricas se encuentran totalmente desprotegidas. Muchos productos sólo incor- 
poran el protocolo WEP (Wired-Equivalent Privacy) como medida de protección, 
que ha demostrado ser inseguro. Como consecuencia, resulta trivial para un atacante 
conectarse a una WLAN. La seguridad de las WLAN se trató en detalle en la sección 
“Protección de redes inalámbricas” del Capítulo 4. 


D> 


Aunque el número de vectores es muy pequeño, asegurarlos todos resulta difícil debido a 
la necesidad de llegar a un compromiso entre proporcionar seguridad y proporcionar acceso 
externo a servicios internos. 

A continuación se van a detallar cada una de las fases del ataque de un intruso a un 
sistema informático, las cuales pueden servirse de uno o más de los vectores de ataque des- 
critos: 


Identificación del objetivo. 

Recopilación de información sobre el blanco. 

Análisis de la información e identificación de vulnerabilidades. 
Obtención del nivel de acceso apropiado. 


> DD 


Capítulo 6: Auditoría, detección de intrusiones y análisis forense 337 


Â Realización del ataque sobre el objetivo. 
§ Completar el ataque. 


Identificación del objetivo 


La primera fase de todo ataque consiste en fijar un objetivo. Este objetivo puede ser de muy 
diversa índole, por lo que condicionará el ataque a realizar. Es totalmente distinto buscar un 
objetivo concreto como “la empresa X” frente a “buscar sistemas que tengan la vulnerabili- 
dad Y”. En el primer caso, se debe recopilar información por muy diversos medios sobre el 
blanco, así como buscar todas las posibles vías de entrada, mientras que en el segundo caso 
se procede a un muestreo de una determinada vulnerabilidad sobre un rango de direcciones. 

Dado que el ataque puede deberse a múltiples motivos, éstos determinan el grado del 
mismo. Factores como la inversión en tiempo y dinero en el ataque, hasta dónde se está 
dispuesto a llegar, objetivos económicos o notoriedad influyen notablemente en el proceso de 
la intrusión. Una vez el objetivo está planteado de manera teórica, se procede a identificar el 
mismo como una serie de blancos concretos, un conjunto de direcciones IP, teléfonos de la 
compañía, localización de edificios, etc., que serán el objeto de la siguiente fase del análisis. 


NOJÍN No debe creerse que los ataques siguen siempre una pauta estricta. El ejemplo del libro supone la 
extracción de las posibles fases de un ataque. Cuanto más profesional sea el intruso, más difusa será 
la frontera entre una fase y otra. 


Recopilación de información sobre el blanco 


El segundo paso de un ataque consiste en recopilar información sobre el objetivo, lo cual se 
puede realizar tanto en remoto como en local. Adicionalmente, los ataques en remoto se 
suelen clasificar entre indirectos y directos. En los Capítulos 4 y 5 se trataron varias herra- 
mientas para el análisis de seguridad, que pueden ser utilizadas por los intrusos en esta fase. 


Ataques Indirectos 


Los ataques indirectos son aquellos en los que no se interroga de manera explícita al sistema 
que se está atacando. Existen varias tareas que son realizadas con frecuencia por los intrusos, 
entre las que destacan: 


Búsquedas de información en Internet sobre la empresa en cuestión. Las búsquedas 
pueden realizarse en www.google.com, los grupos de noticias (news) o la propia Web 
de la empresa. 
Búsqueda de información del dominio: Datos del registrador del dominio de la em- 
presa mediante whois. La utilidad whois, estudiada en el Capítulo 4, permite saber 
quién es el registrador de un determinado dominio. Para ello se puede interrogar 
mediante una consulta a un servidor whois directamente o se suele poder realizar la 
consulta mediante la Web de las empresas/organismos encargados del proceso de 
registro. El organismo ESNIC (www.nic.es) es responsable en España del registro de 
dominios, mientras que los dominios de primer nivel no asociados a países son com- 
petencia de Network Solutions (www.networksolutions.com). 
Búsqueda de información de los rangos de direcciones de la empresa: Se utiliza 
www.ripe.net (Europa). 
S Búsqueda de información en bases de datos accesibles por Internet: Por ejemplo 
BORME, páginas amarillas, etc. 


D> 


D> 
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Ataques directos 


Los ataques directos comprenden los que se realizan de manera explícita contra el objetivo 
seleccionado. Como por ejemplo: 


D> 


D> 


D> 


Rastreo de las rutas hacia el destino: redes implicadas 
Comando para probar: Tracert 


Rastreo de direcciones anexas activas 
Comando para probar: Ping 


Rastreo de puertos abiertos 
Comando para probar: Nmap -sT direccion_IP 


Identificación del sistema operativo 
Comando para probar: Nmap —O direccion_IP 


Identificación de aplicaciones activas 
Comandos a probar: Vmap, httprint, etc. 


Ingeniería social mediante llamadas telefónicas, email o fax para recopilar infor- 
mación. 


Si se desea realizar un rastreo en local, se puede complementar la información obtenida 
mediante diversas técnicas: 


D> 


Rastreos de las redes inalámbricas existentes (war driving): Dado que las redes 
inalámbricas operan sobre una frecuencia conocida y libre es sencillo realizar una 
búsqueda de las que están activas en una determinada zona, basta con utilizar una 
antena conectada a una tarjeta WiFi en modo promiscuo para recibir la información 
de las redes activas que son alcanzables con la antena que se posee. Consulte la 
sección sobre W1F1 en el Capítulo 4. 

Hurgar en documentos desechados (dumpster diving): Los documentos desechados 
de las compañías acaban normalmente en las basuras colindantes por lo que los 
intrusos pueden localizar fácilmente información sensible que no haya sido destrui- 
da correctamente. 

Acceso al edificio falseando la identidad: El control de acceso físico al edificio, en 
caso de existir, suele ser fácilmente vulnerado mediante acreditaciones falsas, simu- 
lación de identidad de un proveedor, etc. 


Al final del presente análisis el intruso obtendrá un completo dossier sobre el objetivo en 
cuestión, pudiendo pasar a determinar los puntos de ataque más adecuados que serán el 
objeto de la siguiente fase. 


Análisis de la información e identificación de vulnerabilidades 


En este punto el hacker dispone ya de datos de la organización objetivo y procede a continua- 
ción a interpretar la información obtenida. Mediante el tratamiento de dicha información 
puede bosquejar un mapa completo de la organización como si se tratase del mapa virtual 
hacia el tesoro. Este camino probablemente contará con unos obstáculos a salvar que debe- 
rán ser burlados si se desea acceder hasta el interior. 
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Entre otras cosas, el intruso puede que disponga de la información acerca de los sistemas 
operativos, los puertos abiertos, aplicaciones y versiones existentes en el blanco. El acceso se 
puede producir por haber encontrado una mala configuración o por vulnerar las protecciones 
existentes. Haciendo un símil con el mundo real, en el primer caso la información obtenida 
ha revelado una puerta entreabierta o un vigilante de seguridad que está dormido, lo cual 
permite acceder sin tener que actuar de manera especialmente intrusiva. En el segundo caso, 
los sistemas están protegidos y funcionando, por lo que el intruso debe buscar una alternativa. 

Se parte de la premisa de que los programas que están escuchando por la red están reali- 
zados por humanos, por tanto tienen fallos. Así mismo, estos programas están ejecutándose 
sobre unas plataformas, con base hardware, sistema operativo, aplicativos y protocolo de 
comunicaciones, que también pueden poseer fallos. El propósito del hacker es encontrar un 
punto de fallo en todo este conglomerado de sistemas que sabe que dan acceso a la organiza- 
ción. Para ello, dado que puede conocer los aplicativos existentes, procede a buscar las vul- 
nerabilidades publicadas hasta la fecha, por ejemplo en www.securityfocus.com, y explotarlas. 
El intruso más avanzado no sólo tiene que nutrirse de vulnerabilidades publicadas sino que 
puede él mismo investigar y descubrir las suyas propias. Sobre este tipo de atacantes no 
bastará con mantener los sistemas actualizados con los últimos parches, sino que la arquitec- 
tura se seguridad jugará un papel decisivo en la protección final. 

El intruso, por otro lado, puede valerse de técnicas más tradicionales, como utilizar la 
ingeniería social para hacerse pasar por alguien que no es y obtener información relevante. 
Para ello se puede ayudar de la información obtenida con anterioridad. Una llamada telefó- 
nica o un correo electrónico para pedir las claves alegando ser un usuario despistado, simu- 
lando ser la secretaria del director o similar, suele tener más éxito del que aparentemente 
puede parecer. La manera más práctica de protección contra la ingeniería social consiste en 
la concienciación y formación del personal: la buena comunicación de los procedimientos 
oficiales, junto con una formación básica en seguridad del personal hacen que los intrusos no 
puedan vulnerar fácilmente un sistema con técnicas básicas de engaño. Para ahondar sobre 
este tema, consulte la sección “La ingeniería social y sus variantes” del Capítulo 5. 

En este punto se pueden realizar también ataques sobre los sistemas perimetrales para 
vulnerar su control de acceso. Si se requiere autenticación, dado que se puede automatizar el 
ataque, se pueden probar contraseñas por defecto, contraseñas típicas o palabras de dicciona- 
rios. No se suelen realizar ataques con muchas contraseñas en este punto, ya que se dilata 
mucho el proceso. Sobre estos ataques de contraseñas, vea la sección “Amenazas y 
contramedidas en una red” del Capítulo 4. 

Como recomendaciones generales para el administrador de sistemas, se sugiere seguir 
las pautas de fortalecimiento de equipos enumeradas en el capítulo anterior. 

En resumen: 


Actualizar el sistema para estar libre de fallos de seguridad. 

Desactivar la ejecución en la pila. 

Instalar sólo lo imprescindible. 

Otorgar los permisos mínimos necesarios. 

Ejecutar los programas con los privilegios mínimos necesarios. 

Ejecutar los programas con visión parcial del sistema de archivos (jaulas). 
Reforzar las políticas de autenticación: Requerir autenticación y evitar contraseñas 
débiles; reforzar con varios factores de autenticación; exigir caducidad de contrase- 
ñas, etc. 


um DDD > D 


Una vez realizado el ataque con éxito, el intruso se encontrará alojado virtualmente en los 
sistemas del blanco elegido, pero probablemente no contará con el nivel de acceso deseado. 
La siguiente fase por tanto se ocupa del proceso de obtención de los privilegios necesarios. 
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Obtención del nivel de acceso apropiado 


S1 el intruso posee ya acceso al sistema, ya sea porque lo tenía o porque en la fase anterior se 
los ganó ilícitamente, normalmente siempre desea escalar privilegios hasta obtener los dere- 
chos de acceso necesarios. En sistemas tipo Windows 95/98/ME, donde no existe control de 
accesos por usuario, este paso no es necesario normalmente, si bien si se encuentran en red 
existe la posibilidad de realizar este control. En este caso se aplicaría lo que se explica a 
continuación. Los sistemas UNIX o Windows XP/2000/2003, dado que sí poseen estrictos 
controles con privilegios para los distintos usuarios, empujan al usuario a obtener la cuenta 
de root o administrador, ya que poseen privilegios totales dentro del sistema. 

Para ello se vuelve al primer paso, pudiéndose recopilar información de los sistemas 
adyacentes para ser posteriormente tratada. Cabe la posibilidad de buscar en archivos infor- 
mación relevante o de acceder a sistemas colindantes que dispongan de lo necesario. Desde 
otra perspectiva, se pueden realizar ataques sobre el sistema en local, buscando vulnerabili- 
dades que permiten realizar el escalado de privilegios deseado. 

El escalado de privilegios puede ser sencillo en sistemas débiles como Windows 95/98, 
ya que como se ha comentado anteriormente el control de accesos en la propia máquina es 
nulo. Por el contrario, en sistemas UNIX o Windows NT/2000/2003 es necesario que los 
intrusos posean conocimientos más avanzados. Normalmente se valen de fallos de seguridad 
que proporcionan mediante su explotación los privilegios necesarios. 

Como administradores de sistemas, se pueden emplear varias técnicas para prevenir que 
un intruso pueda fácilmente escalar los privilegios, entre las que destacan: 


Evitar la ejecución en la pila: Dado que muchas de las vulnerabilidades de seguridad 
de los programas se deben a un desbordamiento de búfer con posible ejecución de 
código en la pila, se puede prevenir dicha circunstancia evitando la ejecución de 
código en la misma. En el Capítulo 5 se explicó el funcionamiento de este tipo de 
vulnerabilidad. 

Evitar los archivos SUID de root en Unix: Los archivos con SUID en Unix se ejecu- 
tan con los permisos del propietario y no con los del ejecutor. Dado que una vulnera- 
bilidad o eventual fallo en los mismos podría dar al intruso privilegios totales, resulta 
imprescindible controlar los archivos que son propiedad del administrador y poseen 
dicha propiedad. 

Crear subdominios: Diversos sistemas permiten la creación de dominios de seguri- 
dad distintos, dicho de otro modo, virtualizan el sistema creando distintos sistemas 
sobre una misma plataforma hardware. Esta segmentación permite que una vulnera- 
bilidad que afecta a una parte del sistema no tenga efecto sobre los demás subdominios. 
Proteger las llamadas al sistema: Es posible realizar un bastionado de seguridad a bajo 
nivel determinando privilegios por usuario sobre las llamadas que le son permitidas. 
Evitar el uso indiscriminado de usuarios con privilegios: Se debe garantizar el prin- 
cipio de mínimo privilegio. Para ello los usuarios deben tener los mínimos privile- 
gios necesarios. Los usuarios de administración tan sólo deben utilizarse cuando 
sean necesarios. 


D> 


D> 


D> 


Para obtener más información, consulte también el Capítulo 5 sobre el fortalecimiento de 
sistemas. 


Realización del ataque sobre el objetivo 


Una vez que el intruso dispone de los permisos adecuados, procede a realizar el ataque en 
cuestión. La información puede ser alterada, lo cual supone un atentado contra su integri- 
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dad; leída, lo cual puede suponer un problema de confidencialidad; o eliminada, lo cual 
implicaría afectar la disponibilidad de la misma. En definitiva, el intruso puede modificar 
datos, puede borrarlos, crear nuevos o simplemente verlos. Dependiendo de cuál sea su obje- 
tivo puede efectuar una acción u otra. 

El ataque en este punto ha llegado a su fin como tal: el intruso ha logrado su objetivo. 
Pero para ello ha dejado numerosas pistas en su camino. La labor por tanto del administra- 
dor de sistemas, una vez que sus sistemas han sido vulnerados, es garantizar que todas estas 
pistas son permanentes y que el intruso no escapa impunemente. En este momento se tiene al 
ladrón con su botín saliendo de la escena del crimen. Es importante que la alarma haya 
saltado, que la policía esté en camino, que las cámaras de seguridad lo hayan grabado todo, 
etcétera. Y lo más importante, que no puedan llevarse consigo las eventuales pistas que 
conduzcan hasta ellos. 


Completar el ataque 


Los intrusos una vez han realizado el ataque suelen realizar dos acciones típicas: borrado de 
pistas e instalación de puertas traseras. El borrado de pistas se realiza para no ser descubierto 
con posterioridad, mientras que la instalación de puertas traseras se ejecuta para disponer de 
un acceso al sistema fuera del flujo normal del proceso de entrada típico, evitando 
autenticaciones, controles de acceso y demás funciones de seguridad que puedan impedir la 
entrada al sistema. 

Para el borrado de pistas suelen utilizar programas automáticos denominados zappers 
que eliminan de un archivo las entradas deseadas. Es posible también que eliminen los 
archivos por completo, si bien esta desaparición sería a su vez una pista de que algo ha 
ocurrido en el sistema. El borrado lógico de los datos, como se verá en el análisis forense, no 
es definitivo, ya que normalmente lo que realizan los sistemas operativos es marcar simple- 
mente el espacio como disponible y mientras no sea actualizado permanece inalterado. Para 
un borrado seguro se deben sobrescribir los mismos sectores con datos para evitar el posible 
acceso a los mismos con un editor a bajo nivel, por tanto dependerá de la destreza del intruso 
en cuestión que se tengan pistas, pistas borradas recuperables o nada en absoluto. Consulte 
la sección “Borrado de rastros en el ordenador” del Capítulo 2 para una descripción de estos 
problemas. 

El segundo punto para completar el ataque normalmente consiste en conseguir un acceso 
permanente y sencillo a los sistemas. Para ello los intrusos suelen valerse de la instalación de 
puertas traseras en los sistemas, de manera que mediante el acceso a través de un simple 
puerto, ante la pulsación de una determinada combinación de teclas o la ejecución de un 
comando, tendrán acceso total a los sistemas. De igual manera que existen los zappers para 
el borrado, existen los rootkits para perpetuar el acceso a los sistemas. En dichos conjuntos 
de utilidades conviven tanto herramientas para actuar como puertas traseras como utilidades 
que evitan descubrir la identidad de las primeras. 

Como se ha comentado anteriormente, es importante reseñar que los atacantes no siguen 
a rajatabla el patrón presentado. A pesar de ello, con esta descripción se ha pretendido deta- 
llar las fases por las que se debe incurrir antes de la intrusión definitiva. Con ello se puede 
prever por dónde pueden atacar y decidir cómo mejorar la protección de los sistemas. Los 
ataques sufridos por la mayoría de empresas y particulares, especialmente en el entorno 
SOHO, se deben a herramientas automatizadas lanzadas por atacantes con pocos conoci- 
mientos. En la Figura 6.3 se representa gráficamente la evolución que está experimentando 
el nivel de conocimientos de los atacantes en comparación con el nivel de sofisticación de las 
herramientas que utilizan. Evidentemente, los hackers que descubren vulnerabilidades en 
los sistemas informáticos y escriben herramientas automatizadas para explotarlas siguen 
poseyendo un elevado nivel de conocimientos, aunque sus filas menguan rápidamente. Por 
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Figura 6.3. Evolución del conocimiento de los atacantes y de la sofisticación de las 
herramientas: a medida que pasan los años, las herramientas son más 
sofisticadas y se requieren menos conocimientos para operarlas. 


estos motivos es importante familiarizarse con los métodos y con las herramientas automa- 
tizadas de ataque, con el fin de prevenir como mínimo las oleadas de ataques automatizados. 
En la sección “Amenazas y contramedidas en una red” del Capítulo 4 se examinaron las 
herramientas de ataque más destacadas. 


Detección de intrusiones en la red 


Después de desplegar las medidas necesarias para que los intrusos no accedan a los sistemas, 
se pueden añadir las necesarias para detectar si una intrusión ha ocurrido o está en curso. De 
igual manera que en los sistemas de protección física tradicionales se complementan ele- 
mentos como puertas, paredes y guardias de seguridad con sigilosas cámaras de vigilancia, 
los sistemas informáticos disponen de detectores de intrusión para alertar ante eventuales 
ataques. 

Los detectores de intrusiones (Intrusion Detection Systems o IDS) residen en sistemas 
que desean ser protegidos, pero sin realizar ninguna otra tarea de servicio aparente al clien- 
te, por lo que puede preguntarse cuál es su verdadera función. Como se ha introducido con 
anterioridad, su principal misión reside en el pilar básico de la detección de ataques a la 
seguridad del sistema, constituyendo un eslabón más en la cadena de la seguridad, del mis- 
mo modo que otros sistemas como los cortafuegos se concentran en la prevención o los 
elementos de backup se centran en la recuperación. 

Es importante distinguir el concepto de detección de ataque del de detección de una 
intrusión. Mientras el ataque puede o no tener éxito, el término intrusión denota la existen- 
cia de un ataque con éxito. Existen tres puntos clave para el éxito de un sistema de detección 
de intrusos: la ubicación, su eficacia en la detección y el tiempo de respuesta. 


Ubicación: Tradicionalmente los sistemas más utilizados han sido los detectores 
perimetrales, complementando la función de los cortafuegos que filtran la interco- 
nexión de los sistemas con redes externas. Actualmente son ampliamente utilizados 
los IDS tanto en redes internas como externas, así como en los propios equipos direc- 
tamente. 

Eficacia en la detección: Es necesario que los detectores acierten ante los ataques, ya 
que en caso contrario se puede caer en los problemas de la consabida fábula: “que 
viene el lobo, que viene el lobo...” y consiguiente pérdida de credibilidad. 


D> 
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S Tiempo de respuesta: Es evidente que de nada sirve que el IDS alerte un año después 
de un incidente, por lo cual su alerta debe ser rápida. 


En la Tabla 6.1 se muestran todos los posibles estados de respuesta de un IDS ante un 
ataque. Si el IDS detecta un ataque cuando de verdad se ha producido, entonces funciona 
correctamente, ya que implica que ha detectado al intruso. En este caso se habla de verdade- 
ro positivo (true positive o TP). Por el contrario, el funcionamiento es incorrecto si realmen- 
te existe un ataque y el sistema no alerta del mismo, lo que se conoce como falso negativo 
(false negative o FN): el IDS dice que no ha pasado nada cuando en realidad sí ha pasado. 

Desde otra perspectiva, si realmente no existe ningún ataque y el IDS alerta sobre algo 
inexistente se produce un falso positivo (false positive o FP): el IDS dice que pasa algo 
cuando en realidad nada ha pasado. Por otro lado, el IDS funciona correctamente si no alerta 
de nada cuando no ha habido ataque, lo que se denomina verdadero negativo (true negative 
o TN). Los falsos positivos son uno de los grandes impedimentos para el buen funcionamien- 
to de los IDS existentes en la actualidad. Por ello requieren de una configuración precisa 
para evitar fallos en la detección. A la hora de evaluar la efectividad de un IDS, suelen 
manejarse los siguientes parámetros: 


Tasa de detección (detection rate o DR): También denominada tasa de verdaderos 
positivos (TPR), representa la probabilidad de que un ataque sea detectado. Se calcu- 
la como: 


R= TP 
TP + FN 


S Tasa de falsas alarmas (false alarm rate o FAR): También denominada tasa de falsos 
positivos (FPR), representa la probabilidad de que el sistema alerte de un ataque 
cuando éste no se ha producido: 


a e 
FP+TN 


Evidentemente, para que un IDS resulte útil en un escenario real interesa que la tasa de 
detección sea lo mayor posible, cercana al 100%, mientras que la tasa de falsas alarmas sea 
lo menor posible, cercana al 0%. Estos dos parámetros, DR y FAR, están íntimamente liga- 
dos entre sí. Si el IDS se configura de manera que sea muy sensible a los ataques, mayor será 
la tasa de detección, pero en contrapartida tanto mayor será también el número de falsas 
alarmas. Si por el contrario se intenta hacer más permisivo, de manera que no se produzcan 
falsas alarmas, habrá muchos ataques que pasen desapercibidos, por lo que a la vez se estará 
reduciendo la tasa de detección. En pocas palabras, es imposible aumentar DR y disminuir 


Tabla 6.1. Posibles respuestas de un IDS. 


Detección del IDS Ataque real No hay ataque 


Hay ataque Verdadero positivo (TP) Falso positivo (FP) 
No hay ataque Falso negativo (FN) Verdadero negativo (TN) 


344 Seguridad informática para empresas y particulares 


FAR simultáneamente. Una forma muy extendida de representación de esta íntima relación 
DR-FAR se basa en la utilización de curvas ROC (Receiving Operator Characteristic), como 
la de la Figura 6.4. Más adelante, en la Tabla 6.2 se listan varias causas para estos fallos de 
detección. 

A la hora de adquirir un IDS deben evaluarse una serie de características: 


D> 


D> 


D> 


Efectividad: Básicamente, se trata de la tasa de detección y de la tasa de falsas alar- 
mas, las dos cifras fundamentales en todo IDS. 

Eficiencia: Se refiere a la velocidad de operación, es decir, cuántos paquetes puede 
examinar por segundo. Si el motor de detección de un IDS es muy complejo, podría 
ocurrir que no dé abasto en una red con mucho tráfico y se vea obligado a descartar 
paquetes, es decir, directamente no los examina. 

Facilidad de uso: Algunos IDS requieren la configuración de complejas reglas de 
operación. Debe considerarse la facilidad de configuración y operación, así como la 
posibilidad de que el usuario configure sus propias reglas. 

Seguridad: Debe evaluarse la resistencia del propio IDS contra ataques dirigidos 
contra él mismo o contra ataques que intentan evadir su detección. 
Interoperabilidad: Resulta posible desear instalar productos IDS de diferentes casas 
en la misma red. Por tanto, habrá que saber en qué medida puede causar problemas 
la coexistencia de IDS diferentes. 

Transparencia: Debe ponderarse el impacto que la instalación de un IDS puede tener 
en la organización, en términos de recursos consumidos, personal dedicado a su 
mantenimiento, etc. 


En el resto de esta sección se estudiarán los sistemas IDS, los tipos existentes y las formas 
de desplegarlos en una red. 


Sistemas IDS 


Una vez justificada la necesidad de los IDS, se detallan a continuación las técnicas existentes 
para lograr la adecuada detección de los eventuales atacantes. 


Curva ROC 


Detección 





0 


0 Falsas alarmas 1 


Figura 6.4. Curva ROC de un IDS típico. Puede apreciarse que cuanto mayor es la tasa 


de detección, mayor es también la tasa de falsas alarmas, pero si se 
disminuye ésta, entonces también decrece la tasa de detección. 
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Tabla 6.2. Causas de fallos en la detección. 


Falsos positivos Falsos negativos 
Alarmas por causas de la red: Mala localización de los IDS o mala 
Evitar clasificar como ataques configuración del port mirroring/spanning. 
las caídas o mal funcionamiento. 
Alarmas por paquetes no reconocidos Tráfico cifrado no visible para el IDS. 
de elementos de red. 
Violaciones del protocolo por programas Mala comunicación entre departamentos 
mal desarrollados. que no dan visibilidad de los nuevos activos 
por lo que no se evalúan las nuevas 
vulnerabilidades. 
Fallos del IDS: Actualización. Firmas mal escritas, fallos en el detector 
o caída del mismo. 
Patrones coincidentes con alarmas reales. Ataques no conocidos. 


Básicamente existen dos tipos de sistemas para la detección de intrusiones: 


Sistemas basados en firmas. 
S Sistemas basados en patrones. 


Sistemas basados en firmas 


Los sistemas basados en firmas detectan las intrusiones que se producen en los sistemas 
gracias al conocimiento previo de los tipos de ataque posibles, debido a lo cual ahí radica su 
principal desventaja: debe existir una base de datos con las firmas de los ataques, la cual 
debe ser actualizada constantemente para garantizar una correcta detección a lo largo del 
tiempo, pues en caso contrario se incurre en el peligro de quedar obsoleta y no realizar 
correctamente la notificación de los ataques más modernos. Por el contrario, tienen su prin- 
cipal ventaja en su sencillez, lo cual provoca que un sistema bien configurado, con las firmas 
adecuadas, produzca un nivel de detección de intrusos elevado, así como un número pequeño 
de falsos positivos. 

Estos sistemas se denominan también detección de intrusiones basada en el conocimiento, 
ya que alertan durante el ataque por comparar contra una base de datos previamente cargada. 
Cabe destacar que la mayoría de productos disponibles están basados en esta técnica. 

Un punto importante en este tipo de sistemas consiste en el tamaño de la base de datos 
conjuntamente con los parámetros incluidos en las firmas. Cuanto mayor sea la base de datos 
y menos rigurosa la especificación de la norma de detección, se produce un mayor número de 
falsos positivos, lo cual afecta de manera directa a la calidad del sistema de detección de 
intrusiones. 


Sistemas basados en anomalías 


Un segundo tipo de detección consiste en la búsqueda de anomalías en los sistemas Para ello 
normalmente se identifica un comportamiento clasificado como normal y se miden las des- 
viaciones sobre el mismo. Como principal desventaja se encuentra la dificultad de catalogar 
un entorno cambiante de manera constante con unos valores que identifiquen lo considerado 
como normal. Los principales avances en este campo se están consiguiendo de la mano de la 
inteligencia artificial, cuyos sistemas se detallarán más adelante en el presente capítulo. 
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Estos sistemas se denominan también como detección de intrusiones basada en el compor- 
tamiento, ya que alertan durante el ataque por desviaciones sobre una conducta habitual, nor- 
malmente por comparación sobre un modelo inicial o sobre cambios de estado no adecuados. 


Tipos de IDS 


Los IDS pueden realizar diversas funciones y dependiendo de ello reciben un nombre. La 
detección puede apoyarse en técnicas basadas en búsqueda de firmas o en detección de abu- 
sos. Adicionalmente los ataques pueden ser buscados sobre diversas fuentes: 


D> 


D> 


D> 


Búsqueda de paquetes de entrada/salida de la red: Los detectores de sistemas de 
intrusiones pueden realizar una búsqueda de patrones de ataque en la entrada de 
paquetes desde la red, ubicados en sistema o en la red. Cabe destacar que con el 
tráfico cifrado los IDS ubicados en la red no ven los datos transmitidos, tan sólo 
cabeceras, por lo que deben ser ubicados en los sistemas si el tráfico esta cifrado. Así, 
una vez puesto en claro el tráfico, pueden comprobar las firmas. 

Comprobación de configuración/bastionado: Es común dentro de los IDS de host la 
existencia de funciones de control sobre la configuración del sistema. Por ejemplo, la 
configuración correcta de los permisos de los archivos, así como la no presencia de 
puertas traseras. Adicionalmente, estos sistemas pueden monitorizar el comporta- 
miento anómalo para detectar posibles programas sospechosos. 

Comprobación a nivel del núcleo del sistema: Últimamente ha aparecido una nueva 
generación de detectores de intrusión que se ejecutan en modo del núcleo para poder 
controlar el poder de root/administrador, ya que a un intruso que compromete un 
sistema y escala privilegios hasta tener control total de una máquina nada le impide 
la alteración de los propios sistemas de detección de intrusiones. Un ejemplo de este 
tipo de sistemas es LIDS (Linux Intrusion Detection System). 

Comprobación de integridad de archivos: Básicamente la comprobación de integri- 
dad de archivos consiste en determinar qué es lo que ha sido modificado en un deter- 
minado sistema en su sistema de archivos, entendiendo por modificación la alteración, 
el borrado o la adición de los mismos. En la Tabla 6.3 se presenta cómo es posible 
cambiar tanto el tamaño del archivo, el propietario, los permisos y la fecha sin que el 
usuario final pueda saber que estos datos han sido cambiados. Existen multitud de 
utilidades que realizan un chequeo de integridad de archivos, como mdSsum, que ya 
fue tratada en la sección “Integridad en el almacenamiento de datos” del Capítulo 3, 
y Tripwire, como herramienta de uso profesional que realiza la firma de los archivos 
del disco que le sean configurados y permite de manera automática el chequeo de los 
identificadores generados, alertando de las modificaciones que se produzcan. Tripwire 
funciona mediante la instalación de agentes en las máquinas que se desean monitorizar. 
Una vez realizada la base de datos de firmas de un sistema de archivos desde la 
consola central se puede requerir a los agentes que generen las firmas actuales y 
cotejarlas con las existentes. 

Monitorización del sistema: Para poder detectar un intruso es muy común el empleo 
de programas que en tiempo real nos dan una foto de una determinada parte del 
sistema y por el método de la comparación se puede averiguar si hay algo sospecho- 
so. En la Tabla 6.4 se enumeran algunas de las herramientas empleadas con este fin. 


Utilización de un IDS para detectar ataques 


Una vez que se conocen los distintos tipos de IDS y cuál es la filosofía en la que se basan, se 
pasa a explicar dónde ubicarlos en una red y cómo configurarlos y operarlos. 
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Tabla 6.3. Cambio de datos de un archivo. 


Propiedad Unix Windows 

Tamaño Editar Editar 

Propietario Chown/Chgrp Abrir/Propiedades 
Permisos Chmod Attrib/Propiedades 
Fecha Touch Abrir 


Tabla 6.4 Herramientas de monitorización de www.sysinternals.com. 


Propiedad a examen Herramienta 
Procesos ProcessExplorer 
Disco FileMonitor 
Conexiones Tcpview 

Puertos PortMonitor 
Registro RegistryMonitor 


Ubicación del IDS 


De igual manera que un detector volumétrico no sirve de nada a 200 Km del sistema que 
desea preservar, los sistemas IDS deben ubicarse correctamente para poder detectar al intru- 
so. Un IDS debe localizarse donde está la acción para saber qué es lo que ocurre y operar en 
consecuencia. 

Para los IDS de host (Host IDS o HIDS) la ubicación está clara: se instalan sobre el 
sistema a monitorizar. Por su parte, los IDS de red (Network IDS o NIDS) deben monitorizar 
todo el tráfico de la red para poder discernir si se trata de un ataque o de datos válidos. Hacer 
que el tráfico pase a través de un NIDS de red resulta sencillo para una topología basada en 
un concentrador (hub), ya que basta con poner la tarjeta del NIDS en modo promiscuo para 
que vea todo el tráfico pasando por su interfaz. Esta topología se ilustra en la Figura 6.5. 





Figura 6.5. Topología HUB. 
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Para una topología conmutada, es decir, basada en switch, la ubicación del NIDS ya no 
resulta tan sencilla, puesto que el tráfico que no es de broadcast sólo circula entre los equipos 
inmersos en la comunicación. En la Figura 6.6.a se observa que el NIDS no puede intercep- 
tar el tráfico intercambiado entre los dos equipos. Para ello se necesita activar como puerto 
especial de copia aquel donde se sitúa el NIDS. Este puerto se denomina port mirroring o 
port spanning en los diferentes equipamientos de red. De esta manera, todo el tráfico que se 
envían los equipos unos a otros se copia además en el puerto especial, con lo que ahora el 
NIDS sí que verá todos los paquetes, como se observa en la Figura 6.6.b. 

Cuando no está disponible esta posibilidad de puertos de copia, existe un hardware de red 
que realiza dicha tarea: son los taps o splitters, cuyo funcionamiento se ilustra en la Figu- 
ra 6.7. Existen numerosos fabricantes que proveen dicho equipamiento: por ejemplo, Net 
Optics (www.netoptics.com) o Finisar (www.finisar.com), realizando la copia de una entra- 
da en dos o más salidas. Se encuentran disponibles para numerosas tecnologías, como GigaBit 
SX, LX o ZX, ATM, DS3, T1, Fast Ethernet copper y desde GigaBit TX hasta SX. Es impor- 
tante reseñar la manera de conectar el equipo para permitir que los taps sean totalmente 
pasivos ante el tráfico y una eventual caída de los mismos no afecte al servicio. 









MGR SWITCH 





Copia de datos 
PortMirroring 


Figura 6.6. Topología conmutada: a) switch en modo normal; b) switch con port 
mirroring. 
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Figura 6.7. Taps o splitters. 
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Configuración del IDS 


Los IDS deben estar configurados para detectar los ataques reales en un tiempo mínimo. El 
mayor problema siempre radica en saber discernir entre lo que es un ataque y lo que es un 
comportamiento “normal”. Una herramienta muy utilizada para la detección de intrusos es 
Snort. Permite analizar todo el flujo de paquetes que atraviesan por los interfaces de red de 
un sistema para comprobar mediante firmas si son o no ataques. Snort dispone de varios 
frontales gráficos para facilitar su manejo. 

El IDS debe ser configurado previamente a su uso, ya que si no se le dice qué es lo que se 
quiere detectar, difícilmente sabrá alertar. Lo primero es conseguir el software para realizar 
las pruebas, el cual esta disponible en www.snort.org. El IDS puede ser ubicado tanto en un 
sistema escritorio como a modo de sonda de red monitorizando el tráfico que fluye por sus 
interfaces. Una vez se ha instalado Snort y su frontal gráfico, IDScenter, se debe decidir cuál 
es la correcta configuración del mismo. En la pantalla de configuración, mostrada en la 
Figura 6.8, se puede definir la versión que se tiene instalada, el lugar donde se desea grabar 
las alertas y el formato de las mismas. 

Es muy importante que se configuren también los datos bajo la pestaña Wizards, entre 
los que destacan: 


Variables de red: Definir los valores de la red interna y externa, así como las direc- 
ciones del equipo. 


MO 


A CAE Ha EAN 
Ss = i y y a $ Start Snort | 
"i Paagi: Ma T T A Reset alarm | 
# Test configuration | 


Snort version [Static, Flex or MySQL] 


* Snor 1.8 C Snorn 1.7 


1| ID$ rules 
y = Snort setup 


dh Logs*Alerts |” zgon hinar - 
C:Archivos de programa Sourcefire Snort Snort exe 


- Autostart options 
o A [Start IDScenter with Windows [Registry: Run] 


| Start Snort when lDScenter is started 
A Alarm y TA 
SNN M Show Snort console Process priority 


[| Minimized Snort window © Normal (" High © Realtime 
| Don't restart Snort, if it is killed 


Additional parameters: 


A Dvyerview 


[5] Miew alerts . i: : z = - 
Network settings (Tip: only for a single host setup! Configure other settings in ConfControl] 


Home network [IF732 for single host, -h]) 


¡A Logs folder | do T 
= Network Interface E [-1) 
"Backup folder Select (5 Update 
b» B 


P About | 13 Download | a Create script | x Load cript | 


¡DS center General setup 





Figura 6.8.  —IDSCenter: configuración general de Snort. 


350 Seguridad informática para empresas y particulares 


8  Preprocesadores: Utilizados para poner en formato común los datos de entrada antes 
de comparar. Así el IDS podrá obviar las mayúsculas y minúsculas, ataques en dis- 
tintos sistemas de codificación, ataques con paquetes fragmentados, etc. 


Los plugin de salida sirven para poder redireccionar la salida a una base de datos o el 
repositorio que se desee. 

Las reglas y firmas activas son configuradas también en esta pestaña, pudiéndose editar 
y activar bajo demanda. (Véase Figura 6.9.) 


Operación del IDS 


Una vez el IDS está activado, va a monitorizar todo el acceso sobre los sistemas, alertando en 
caso de que se produzca alguna coincidencia con las firmas activadas. Para maximizar 
la efectividad, se debe tener en cuenta el porqué se producen los falsos positivos y falsos 
negativos. 


Plan de respuesta a incidentes 


En última instancia, para que la detección de intrusiones sea realmente efectiva, resulta de 
vital importancia disponer de un plan de respuesta a incidentes. Este plan ayuda a estar 
preparado y a saber cómo se debe actuar una vez se haya identificado un ataque. La respuesta 


E Mi ay 


SHORT lid > a Ac T 
DIAM UA $ Start Snort | 
ve | THN — S O KSE Reset alarm | 


AAA 
| 


E ENS 
Gnor IDS ruleset £ Filters 
Snort IDS ruleset [-c] 


C Archivos de programat5 ourcefireA5nortsnort conf A 
[| Change rule testing order [-0] to Ra 


ph Logs/Alerts |” | Filters [standard EPF options. like im TCPDump. -F] 


A Alert detection 


AAl EY Start editor | CieindowsAnotepad. exe 
arm y 


Al Overview H Snort lDScenter rulezet 
H Contact: eclhpzetpacks. net 7 uk gmr. ch 
m H 
| View alerts + Generated using IS center 1.1 ROZ 


HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH 
H Tou can take the following steps to create pour 


=L fold H own custom configuration: 
1 Logs folder H 11] Set the network variables for your network a 
Snort configuration file 
bi Backup folder | 5 Gavre | w Reload | Configuration generator | 


A About | 3 Download | a Create script | x Load cript | 


IDS center IDS Rules 





Figura 6.9. IDSCenter: configuración de reglas. 
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ante un incidente simplemente trata de definir cómo se actúa ante un suceso u ocurrencia 
determinada. Constituye un punto clave dentro los planes de seguridad de la información, ya 
que mientras que la detección del incidente es el punto que afecta a la seguridad del sistema, 
la respuesta define cómo debe reaccionar el equipo de seguridad para minimizar los daños y 
recuperar los sistemas, todo ello garantizando la integridad del conjunto. 

El primer punto consiste en formular el plan de respuesta a incidentes. Como tal, debe 
ser apoyado por las altas esferas de la organización y puesto a prueba de manera frecuente 
para verificar su efectividad. El plan de respuesta a incidentes no debe ser estático en su 
totalidad, sino que con las sucesivas pruebas, intrusiones reales, etc., debe actualizarse para 
conseguir una mayor efectividad en su puesta en práctica cuando sea necesario. 

El plan de respuesta a incidentes suele dividirse en varias fases, entre las que destacan: 


Respuesta inmediata: Una respuesta rápida puede evitar males mayores, por ello es 
muy importante que la detección se haga lo antes posible y la primera reacción sea 
inmediata. Es importante determinar si esta respuesta será automática o manual, 
además del alcance que se le otorga a la misma. Reconfigurar automáticamente las 
reglas de los cortafuegos o inyectar paquetes de RESET sobre conexiones estableci- 
das puede ser una solución, pero a la vez puede provocar paradas sobre servicios 
legítimos debido a falsos positivos. 
A Investigación: Debe realizarse una investigación adecuada para saber por qué se 
produjo la intrusión, quién la perpetró y sobre qué sistemas. Esta parte será tratada 
con detalle en la sección sobre análisis forense, más adelante en este capítulo, pero es 
de vital importancia que el presente punto contemple cómo se debe realizar la inves- 
tigación, hasta dónde se debe llegar y cuáles deben ser las siguientes fases después de 
encontrar las evidencias, por posibles responsabilidades que puedan surgir. 

A Recuperación: Para realizar la recuperación de los sistemas se requerirán acciones 
previas que la posibiliten, tales como existencia de copias de respaldo, sistemas de 
reserva, etc. En el plan de respuesta se priorizarán tareas de recuperación identifi- 
cando los elementos críticos, así como las fases de la recuperación. Dentro de la 
presente fase se contempla tanto la recuperación del sistema como las medidas nece- 
sarias para evitar que el incidente vuelva a ocurrir: instalación de parches, bastiona- 
do del sistema, etc. 

§ Creación de informes: Es importante documentar la información sobre los inciden- 
tes para que sirva como base de conocimiento con posterioridad, para posibles pun- 
tos de mejora y como información para todos los integrantes de la organización. De 
manera adicional, se hacen necesarios los informes por posibles responsabilidades 
legales que pudieran derivarse. 


De forma añadida, es muy importante que el plan de respuesta a incidentes cumpla los 
siguientes requisitos: 


Desarrollado y puesto en práctica por personal apropiado: Por ejemplo, por personal 
experto propio de la casa. El personal que realiza esta tarea suele denominarse equi- 
po de respuesta a emergencias informáticas (Computer Emergency Response Team o 
CERT). Los miembros de dicho equipo deben contar con los conocimientos técnicos 
necesarios, así como con la posibilidad de estar localizables en cualquier momento, 
ya que las incidencias pueden producirse a cualquier hora del día o de la noche. La 
correcta formación y política de disponibilidad del CERT es un punto vital para el 
éxito de una actuación temprana. El CERT debe poseer habilidad para coordinar y 
trabajar de manera proactiva, experiencia en solución de incidentes y eficiencia ante 
situaciones críticas. 
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D> 


Soporte financiero del presupuesto de la compañía: Ante la eventual ocurrencia de un 
incidente, deben estar previstas las dotaciones presupuestarias con su alcance definido, 
ya que si los trámites administrativos obstaculizan el plan de respuesta, ésta se verá 
retrasada y por consiguiente los efectos devastadores pueden ser mayores. 

Apoyo de la dirección: La dirección debe apoyar el plan así como el personal experto 
en leyes, ya que sin su aprobación no tendrá efecto alguno. 

Plan de acción realista: El plan debe contemplar hitos y acciones posibles dentro de 
la empresa, por ello debe ser puesto a prueba y demostrada su eficacia. 

Sistemas físicos para la recuperación disponibles: Los sistemas identificados como crí- 
ticos que deban ser recuperados en tiempo mínimo deben poseer medios para su restau- 
ración. Si para ello dependen de medios materiales, éstos deben estar disponibles. 


La metodología más extendida para la respuesta ante incidentes es la conocida como 
PDCERE, cuyas letras son los acrónimos de cada una de las seis fases de las que consta: 
Preparación, Detección, Contención, Erradicación, Recuperación, Continuación (Follow up): 


D> 


D> 


D> 


Preparación: Debe contener al menos las medidas para proteger los sistemas, así 
como los medios e infraestructura para detectar y recuperar incidentes. Además debe 
incluir los procedimientos que se seguirán ante una catástrofe, junto con la designa- 
ción del personal y recursos para poner en práctica dicho plan. 

Detección: En la presente fase se detectan los incidentes por medio de la infraestructu- 
ra de software y hardware existente, se clasifican y se realizan los informes iniciales 
sobre la situación para determinar el alcance del mismo. Con dicha información se 
posibilita la primera reacción, que es crítica para la respuesta correcta ante el incidente. 
Contención: Una vez comunicado en primera instancia el incidente, se debe actuar 
para la contención del mismo. Después de realizar el análisis se deben tomar medi- 
das para limitar el ámbito del incidente, así como el daño del mismo. Desconexión 
de sistemas, inyección de reglas sobre cortafuegos, ampliación de la monitorización 
de sistemas, etc., son las medidas tomadas en esta fase. Es importante reseñar que se 
debe continuar con la comunicación de la actividad sospechosa para poder realizar 
un informe global del incidente. 

Erradicación: Dado que la meta final es eliminar lo que ha causado el incidente, es 
importante saber cuál ha sido el alcance del mismo para poder determinar cuál será 
la medida para su erradicación. Se han de seguir los procedimientos que fueron 
redactados en la fase inicial para no dejar nada olvidado y poder actuar de manera 
homogénea en todos los sistemas. 

Recuperación: El objetivo de la recuperación es la vuelta a la normalidad de los 
sistemas, para lo que se deben seguir los procedimientos de recuperación detallados 
en la fase de preparación. Es importante registrar todo lo ocurrido para seguir reali- 
zando el informe general, que será remitido para poner en conocimiento del inciden- 
te ocurrido de manera pormenorizada a todas las personas que necesiten conocerlo. 
Continuación (Follow Up): Una vez mitigado y recuperados los sistemas tras el inci- 
dente, es necesario recopilar todo el conocimiento adquirido para evitar su ocurren- 
cia en un futuro, así como la documentación de todo lo sucedido. Dicha etapa puede 
servir también para realimentar el sistema y mejorar procedimientos que se han visto 
insuficientes. Por ello deberán mejorarse e incluirse en la fase inicial. 


Sistemas de prevención de intrusiones 


Los sistemas para la prevención de intrusiones (Intrusion Prevention Systems o IPS) son apli- 
caciones cuyo objetivo es evitar la intrusión, normalmente deteniéndola, pero empleando téc- 
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nicas del mundo de los IDS. El objetivo es similar al que persigue un dispositivo tipo cortafuegos, 
pero para ello se valdrán de las técnicas utilizadas en detección de intrusos. En el presente 
apartado se examinarán los distintos tipos de IPS existentes, así como su funcionamiento. 


Distintos tipos de IPS 


Una vez vistos todos las posibles tipos de IDS, se puede plantear si son suficientes o aún no 
se está seguro con ellos. En la actualidad, debido a su evolución y rapidez de respuesta, está 
cobrando fuerza el concepto de utilizar los detectores de intrusión para prevenir contra ata- 
ques más que para alertar de ellos. En definitiva los sistemas de prevención de intrusiones 
tienen la habilidad de detectar ataques y evitar que el mismo llegue a su fin. Existen cinco 
tipos de IPS en la actualidad: 


D> 


D> 


D> 


D> 


NIDS en línea: Dichos sistemas consisten en la unión de las capacidades de detec- 
ción de un NIDS con el filtrado de un cortafuegos. 

Switches a Nivel 7: Consiste en la posibilidad de inspección de protocolos al nivel de 
aplicación en los conmutadores actuales. Pueden realizar detección de ataques típicos 
como denegación de servicio (DoS) o basándose en firmas predefinidas evitando afectar 
a los sistemas de la red que crean, con su principal ventaja de potencia y redundancia. 
Cortafuegos/IDS de aplicación: Los IDS y cortafuegos de aplicación realizan la fun- 
ción de prevención más que la típica detección. Dado que por ellos pasa toda la 
información del diálogo entre el usuario y la aplicación, pueden confeccionar un 
perfil de los datos a transmitir y controlar cualquier desvío del mismo. Por lo gene- 
ral, la configuración de estos sistemas deniega todo lo no expresamente permitido, 
por lo que se presentan como una opción más restrictiva que los switches de nivel 7 
o los IDS en línea. Se tratan en la sección “Fortalecimiento de aplicaciones” del 
Capítulo 5. 

Host IPS (HIPS): Sistemas que combinan las técnicas de protección a nivel de siste- 
ma. Las funcionalidades más destacadas son la prevención del desbordamiento de 
búfer mediante la desactivación de ejecución de código en la pila o control de la 
misma, análisis del comportamiento de determinados parámetros del sistema en tiempo 
real y cortafuegos con inspección a nivel 7. 

Switches híbridos: Esta tecnología es una mezcla entre los cortafuegos de aplicación 
y los conmutadores de nivel 7. Se instalan como appliances hardware delante de los 
servidores utilizando un conjunto de reglas típico de NIDS para detectar ataques e 
inspeccionan el tráfico en busca de contenido maligno según la política predefinida. 
De manera adicional permiten el bloqueo de ataques más sofisticados, ya que cono- 
cen todo el trasiego de información entre usuario y servidor, pudiendo detectar ano- 
malías en el mismo. 

Aplicaciones engañosas (Deceptive Applications): Esta técnica realiza un análisis 
del tráfico existente en la red para clasificar lo que considera bueno. Cuando se 
realizan intentos de conexión sobre sistemas no existentes, la aplicación los simula 
para cazar al atacante. De esta manera se registran logs con información de los 
intentos de los intrusos para posterior análisis. De manera adicional, pueden servir 
como agentes para generar datos contra una consola centralizada que correlaciona la 
información para predecir intentos de ataque. 


Funcionamiento de los IPS 


El funcionamiento de los IPS es similar al de los detectores de intrusión, si bien su objetivo 
de fondo difiere en gran medida. 
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El IPS detendrá toda actividad sospechosa: no sólo alertará de ella, sino que más bien su 
principal cometido será evitar el ataque. 

Los IPS se sitúan delante de los sistemas a proteger y analizan el flujo de tráfico que se 
envía hacia el destino. En tiempo real decidirá si se trata de tráfico catalogado como válido 
O si en caso contrario puede tratarse de una intrusión, en cuyo caso será bloqueado. Los IPS 
presentan su mayor utilización dentro de la protección de los servidores Web: para su funcio- 
namiento comprueban el tráfico recibido contra patrones típicos de ataque y en caso de 
producirse suelen redirigir al atacante a páginas estándar de error para ocultar de algún 
modo su existencia. En la sección “Fortalecimiento de aplicaciones” del Capítulo 5 se tratan 
varias de estas herramientas, que protegen frente a ataques a nivel de aplicación. 

El uso de estos sistemas está extendiéndose en la actualidad de igual manera que los IDS 
lo hicieron a finales de los años noventa. En un futuro la frontera entre los IDS y los IPS será 
cada vez más difusa desde el punto de vista de producto, ya que los fabricantes de unos y 
otros tienden a ser los mismos, con lo que las funcionalidades suelen entremezclarse. 


Registros de auditoría de sistemas 


Todo sistema que pretenda ser seguro debe mantener registros de auditoría adecuados al 
entorno. En definitiva, no basta con controlar quién entra y a dónde accede, sino que debe 
registrarse quién, cuándo, desde dónde, cómo y a qué accede, para poder obtener informa- 
ción de auditoría. La auditoría como tal no es un sistema preventivo, sino que sirve para 
detectar comportamientos no adecuados y resulta de gran utilidad en la recuperación de 
sistemas. Sirve por ejemplo para facilitar información sobre lo que ocurrió, lo cual ayuda en 
gran medida a saber cómo devolver el sistema a la normalidad, así como a implantar en un 
futuro medidas para evitar que las deficiencias de seguridad sigan ocurriendo. Los dos prin- 
cipales propósitos de la auditoría son pues: 


Proporcionar la capacidad de determinar la ocurrencia, momento, método y objetivo 
de un ataque. 
S Proporcionar la capacidad de resolver incidentes de seguridad. 


Como paso previo a la auditoría del sistema, se debe identificar qué hitos se desean 
registrar. Para aquellos sucesos en los que detrás existe un usuario, se debe autenticar al 
mismo previamente para poder registrar correctamente la identidad del actor. 

El objeto de la auditoría es chequear en todo momento que todo funciona según lo acorda- 
do. Dicho de otro modo, un sistema se diseña para funcionar de una determinada manera y se 
opera a tal efecto. Mediante la auditoría se revisa que el modelo inicial se cumple, que está 
sujeto a norma y se vislumbran posibles puntos de mejora. La auditoría por tanto podrá refle- 
jar en sus informes datos sobre los incidentes de seguridad, con éxito o no, junto con sugeren- 
cias para evitar las debilidades encontradas. La auditoría del sistema siempre es beneficiosa 
desde el punto de vista de seguridad, pero suele disminuir el rendimiento de la máquina. Si se 
audita demasiado, también resulta más difícil detectar sucesos críticos enterrados entre la 
gran cantidad de sucesos irrelevantes. Por este motivo, la auditoría a menudo se deshabilita 
en los sistemas, lo que penaliza a posteriori la detección de la actividad de un intruso. 

El presente capítulo se centra en el campo de la auditoría de registros informáticos. No 
serán su objeto los temas de auditoría de empresas desde el punto de vista económico, admi- 
nistrativo, etc., sino que se centra en estudiar los principales archivos de registro de seguri- 
dad. Registros del sistema, aplicaciones y equipos de red serán los tres principales bloques a 
tratar. Dentro de cada uno de ellos se estudiarán sus diversas implicaciones. Para finalizar, 
se completará la información con los detalles de las herramientas existentes para facilitar, 
normalmente mediante automatización, la explotación de los registros generados. 
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Registros del sistema 


El primer grupo de registros de actividad a tratar son los registros del sistema. Los sistemas 
operativos utilizados en entornos empresariales suelen ofrecer varios servicios de auditoría y 
en ellos se pueden encontrar los siguientes sucesos: 


Inicios y fin de sesión en el sistema. 

Acceso a los objetos del sistema: archivos, directorios, impresoras, etc. 
Administración de cuentas. 

Cambios en políticas de seguridad. 

Sucesos de sistema. 


un DDD 


La auditoría dentro de Windows XP/2000/2003 está incluida en la definición de los obje- 
tos del sistema. 

Así, dentro del descriptor de seguridad de un objeto se encuentra la lista de control de 
acceso del sistema (SACL). La SACL de un objeto es muy parecida a la DACL, vista en el 
Capítulo 5, con la única diferencia de que sirve para configurar la auditoría del objeto y no 
para restringir el acceso al mismo. 

Cada entrada de control de acceso (Access Control Entry o ACE) en la lista contiene una 
cabecera para identificar si la entrada es para auditar el fallo de acceso, el acceso permitido 
o ambos. 

Contendrá también el SID del usuario o grupo sobre el que se aplica la entrada. Por 
último, contendrá una máscara que listará las operaciones a auditar. La SACL dentro del 
descriptor de seguridad será la siguiente: 


AE T ACES 

SACL, entry 0 
ACE type: SYSTEM AUDIT ACE TYPE (2) 
Trustee: WORKGROUP1administrator (user) 
Inheritance/auditing: 1000 0000 
FAILED ACCESS ACE FLAG 
Permissions: 0000 0000 0000 0000 - 0000 0000 1000 0000 
00000080h FILE READ ATTRIBUTES 

SACL, entry 1 
ACE type: SYSTEM AUDIT ACE TYPE (2) 
Trustee: WORKGROUPMadministrator (user) 
Inheritance/auditing: 0100 0000 
SUCCESSFUL ACCESS ACE FLAG 
Permissions: 0000 0000 0000 0000 - 0000 0000 0000 0001 
00000001h file: FILE READ DATA, dir: FILE LIST DIRECTORY 


Los componentes de una de las entradas, ACE, son: 


Tipo ACE - ACE type: SYSTEM_AUDIT_ACE_TYPE (2) 


Â Herencia / Auditoría - Inheritance/auditing: 1000 0000 FAILED_ACCESS_ 
_ ACE_FLAG 
Máscara - Permissions: 0000 0000 0000 0000 - 0000 000 1000 0000 00000080h 
FILE_READ_ATTRIBUTES 
8 SID del usuario - Trustee: WORKGROUPtadministrator (user) 
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Esta auditoría implica registrar los sucesos fallidos de lectura de los atributos de un 
archivo por parte del usuario Administrador. 


Configuración de la auditoría de sistema 


Normalmente, cada servicio de Windows XP/2000/2003 tendrá su propia auditoría de los 
objetos que maneja. El concepto de configuración de la auditoría es similar para cada servi- 
cio, ya que el control de acceso se realiza mediante la definición de los objetos de Windows. 
No obstante, existirán servicios no integrados en el Directorio Activo que tengan sus propios 
registros de eventos configurables de distinta forma. Casi todos estos últimos tendrán regis- 
tros del tipo archivo de texto, como por ejemplo IIS. La estrategia de Microsoft pasa por 
integrar todos los registros en el directorio, así que cada vez se verán más aplicaciones que 
dejan el registro en el repositorio estándar, esto es, Directorio Activo. 

Windows XP/2000/2003 permite auditar por un lado las acciones de usuarios y grupos, y 
por otro permite auditar el acceso a los objetos (véase Figura 6.10). El trazar la actividad de 
un usuario en la utilización de un sistema operativo es una tarea fundamental. Así, se pueden 
auditar las siguientes acciones de un usuario: 


Inicios de sesión de usuario. 
Administración de cuentas. 
Acceso al servicio de directorio. 
Autentificación en dominios. 
Acceso a los objetos. 

Cambio de políticas. 

Uso de privilegios de usuario. 
Uso de procesos. 

Eventos del sistema. 


a D D D D D> D D 


Entrada de auditoria para auditoria. TIF Ag 


Objeto 


Nombre: | gonzalo (CONAN* gonzalo) 


Aplicar er: 


Acceso: Correcto Incorrecto 


Control total 

Recorrer carpeta * Ejecutar archivo 
Listar carpeta * Leer datos 
Atributos de lectura 

Atributos extendidos de lectura 
Crear archivos * Escribir datos 
Crear carpetas * Anexar datos 
Atributos de escritura 

Atributos extendidos de escritura 
Eliminar 

Permisos de lectura 

Cambiar permisos 


Ol 
Ol 
O] 
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O] 
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O 
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O] 
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Tomar posesión 
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Figura 6.10. Entrada de auditoría para un objeto del sistema de archivos. 
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La configuración de los eventos a auditar se realiza o bien desde la Directiva de seguri- 
dad local o desde la Directiva de grupo. Los principales objetos a auditar en un sistema 
Windows XP/2000/2003 son: 


Sistema de archivos 
S Registro 


Para que la definición de auditoría en los objetos sea efectiva, debe activarse la auditoría 
de acceso a los objetos. Esta es una de las partes más importantes del control de seguridad de 
un servidor. El Administrador debe verificar el acceso al Sistema de archivos, Registro y 
Directorio Activo. La configuración de la auditoría para cada objeto se realizará dentro de la 
herramienta adecuada. A continuación se procede a mostrar los ejemplos del sistema de 
archivos y del registro dentro de la plataforma Windows XP/2000/2003. Para auditar el 
acceso a objetos específicos (archivos, Registro o Directorio Activo), primero se deben apli- 
car SACL a los objetos en cuestión y después configurar Windows para que registre dichos 
SUCESOS. 

Para aplicar los SACL a objetos del sistema de archivos (véase Figura 6.10): 


1. Abra el Explorador de Windows y seleccione los objetos en cuestión, archivos y/o 
directorios. 

2. Haga clic con el botón secundario del ratón y seleccione Propiedades en el menú 
contextual. 

3. Seleccione la pestaña Seguridad y pulse el botón Opciones avanzadas. 

4. Seleccione la pestaña Auditoría y pulse el botón Agregar. Si esta pestaña no está 
disponible es que no tiene suficientes privilegios. 

5. Seleccione el usuario, equipo o grupo cuyas acciones desee auditar y pulse Aceptar. 

6. A continuación seleccione el tipo de acceso que desea auditar y el resultado del inten- 
to de acceso: correcto o incorrecto. 

7. Pulse Aceptar tres veces. 


Para aplicar los SACL a objetos del Registro (véase Figura 6.11): 


1. Abra el Registro de Windows (seleccione Inicio>Ejecutar, escriba “regedit” y pulse 
Aceptar) y seleccione los objetos en cuestión, claves y/o subclaves. 

2. Haga clic con el botón secundario del ratón y seleccione Permisos en el menú 
contextual. 

3. Pulse el botón Opciones avanzadas. 

4. Seleccione la pestaña Auditoría y pulse el botón Agregar (véase Figura 6.12). 

Si esta pestaña no está disponible es que no tiene suficientes privilegios. 

Seleccione el usuario, equipo o grupo cuyas acciones desee auditar y pulse Aceptar. 

A continuación seleccione el tipo de acceso que desea auditar y el resultado del inten- 

to de acceso: correcto o incorrecto. 

7. Pulse Aceptar tres veces. 


Dn 


Para configurar Windows para que audite los sucesos de acceso a los objetos anteriores 
(véase Figura 6.13): 


1. Seleccione Inicio>Todos los programas>Herramientas administrativas>Directiva 
de seguridad local. 

2. Seleccione el nodo Configuración de seguridad>Directivas locales>Directiva de 
auditoría. 
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Entrada de auditoria para Internet Explorer dg 


Objeto | 


Nombre: | gonzalo (CO NAN gonzalo) | 


Aplicar en: | Esta clave y sus subclaves v 














Acceso: Correcto Incorrecto 


Control total 
Consultar valor 
Establecer valor 
Crear subclave 
Enumerar subclaves 
Notificar 

Crear vínculo 
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Escribir DAC 
Escribir propietario 
Controles de lectura 
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[C] objetos y/o contenedores dentro de este = 


contenedor 














Figura 6.11. Entrada de auditoría para un objeto del Registro. 


Configuración de seguridad avanzada para auditoria. TF 





I 
| 


| Permisos | Auditoria | Propietario | Permisos efectivos 
Para ver mås información sobre entradas especiales de auditoria, seleccione una y haga clic en Editar. 


Entradas de auditoría: 


Heredado de 


Corectoa ASA ata q la] Listar carpeta £... <mo heredado? 


Heredar del objeto principal las entradas de auditoría relativas a los objetos secundarios. incluirlas junto 
con las entradas indicadas aquí de forma explicita. 





Figura 6.12. Configuración de seguridad avanzada para auditoría. 


Capítulo 6: Auditoría, detección de intrusiones y análisis forense 359 





Archivo Acción Ver Ayuda 
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3 Configuración de seguridad Configuración de seguridad 


+ 3 Directivas de cuenta 28] Auditar el acceso a objetos Sin auditoría 
08 Directivas locales 28] Auditar el acceso del servicio de directorio Sin auditoría 
E cà Directiva de auditoría i 28] Auditar el cambio de directivas Sin auditoría 
$ E Asignadon de derechos de usuario 28] Auditar el seguimiento de procesos Sin auditoría 
+1 (9 Opciones de seguridad 28] Auditar el uso de privilegios Sin auditoría 


+] Directivas de claves públicas 
— o pi se] Auditar la administración de cuentas Sin auditoría 
+) Directivas de restricción de software = i , 

28] Auditar sucesos de inici i i i 
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Configuración de seguridad local | 


e Auditar el acceso a objetos 


Auditar estos intentos: 


[C] Correcto 
Erróneo 








Figura 6.13. Directivas de auditoría en la Configuración de seguridad local. 


3. Haga doble clic sobre Auditar el acceso a objetos y verifique las casillas Correcto y/ 
o Erróneo. 

4. Pulse Aceptar y cierre la consola de Configuración de seguridad local. En el siguien- 
te apartado se explica cómo visualizar los registros de auditoría generados. 


Un aspecto muy importante de la definición de auditorías es la nueva característica intro- 
ducida a partir de Windows 2000 de la herencia entre objetos. Para cada objeto se puede 
definir dos tipos de herencia: de permisos o auditoría. 

Cuando se le indica al sistema operativo que realice una determinada auditoría, tanto de 
usuario como en el acceso a determinados objetos, el sistema perderá algo de prestaciones 
debido al trabajo de registrar las operaciones indicadas. Por este motivo, el administrador 
debe siempre revisar los eventos registrados. En cualquier otro caso, si no se van a revisar, no 
tiene ningún sentido grabarlos. 


Examen de los registros de auditoría 


La visualización de los sucesos de auditoría registrados se realiza mediante el Visor de suce- 
sos. Para abrirlo, seleccione Inicio>Todos los programas>Herramientas administrativas> 
Visor de sucesos. Como puede apreciarse en la Figura 6.14, el Visor de sucesos no sólo se 
utiliza para ver los registros de Seguridad, sino para ver otros registros de algunos servicios 
del sistema e incluso de otras aplicaciones de terceros. 

Un suceso posee distintos campos que aportan información al administrador sobre la 
fuente que generó el citado suceso. 
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Seguridad 24 sucesos 
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Figura 6.14. 


Visor de sucesos mostrando los registros de auditoría sobre sucesos de 
seguridad configurados en la Directiva de seguridad. 


Los sucesos contienen una cabecera y una descripción. Los campos de la cabecera son: 


DD» 


DD» 


Fecha: Fecha en la que ocurrió el suceso. 

Hora: Hora local en la que ocurrió el suceso. 

Usuario: El nombre del usuario en cuyo nombre se generó el suceso. Este nombre es 
el ID de cliente si el suceso se generó por un proceso de servidor, o el ID primario si 
no tuvo lugar la suplantación de identidad entre procesos. 

Ordenador: El nombre de la máquina donde ocurrió el suceso. 

Id. suceso: Un número identificando un tipo particular de suceso. La primera línea 
de la descripción del suceso normalmente contiene el tipo de suceso. 

Origen: El software que grabó el suceso en el registro. Podrá ser el nombre de un 
programa, como SQL Server o un componente del sistema o un controlador de dispo- 
sitivos (driver). 

Tipo: Una clasificación de la importancia del suceso. Los valores posibles son Error, 
Información o Alerta para los registros de Sistema y Aplicación; Auditoría Correcta 
o Errónea, para el registro de Seguridad. 

Categoría: Una clasificación de los sucesos por la fuente del mismo. Esta informa- 
ción es usada para el registro de Seguridad. Por ejemplo, para la auditoría de seguri- 
dad, este campo corresponde a uno de los tipos de sucesos que se configuran desde la 
Directiva de seguridad. 


La descripción dependerá del tipo de suceso, pero suele ser una descripción en texto de lo 
acontecido. Los tipos de sucesos posibles son: 
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Error: Un problema significativo, como pérdida de datos o que un servicio no ha 


arrancado. 

A Advertencia: Un posible problema futuro, como por ejemplo que el espacio de disco 
= es escaso. 

A Información: Un suceso que implica una operación realizada con éxito, como la 


carga de un controlador de red. 
A Auditoría de aciertos: Un suceso de auditoría correcta. 
8 Auditoría de errores: Un suceso de auditoría errónea. 


Dentro de esta herramienta se pueden configurar los registros dentro de las Propiedades 
de cada uno de ellos. Los dos parámetros de configuración posibles son el tamaño del regis- 
tro y cuándo se sobrescriben sucesos. 

Como se apuntó al inicio de esta apartado, no es demasiado coherente especificar que los 
sucesos se sobrescriban, ya que es muy posible que precisamente se sobrescriban aquellos 
que se necesiten ver. Lo razonable consiste en especificar que se sobrescriban con varios días 
de antigüedad. Si se opta por el borrado manual, se debe tener cuidado porque en el momen- 
to en el que el archivo de registro se llene, no se registrarán más sucesos. De la misma 
manera, si se opta por seleccionar “Sobrescribir sucesos con más de X días” y X es muy 
grande, es posible que no se den las condiciones para escribir sucesos y el sistema no pueda 
registrarlos. (Véase Figura 6.15.) 

Para evitar estos problemas se utiliza un valor en el registro situado en la subclave: 


AREY COCACTMACHI NEN SYO TEM encontro Ser ControliEsan 


Propiedades de Seguridad 
General | Filtro 


Mombre para mostrar: segurida: 
Mombre de registro: CAWINDOWS ‘Systema contig S ecE vent. Evt 
Tamaño: 512.0 KB [524.208 bytes] 

Creado: miércoles. 07 de nowembre de ¿001 19:57:18 

Modificado: lunes, 12 de julio de ¿004 11:15:06 

Con accesa: lunes, 12 de julio de ¿004 11:15:06 


Tamaño del registro 


Máximo tamaño de 512 E 
registro: Xx 


kE 


Cuando se alcance el tamaño másimo del registro: 


(5 Sobrescribir sucezos cuando sea necesario 


() Sobrescribir sucesos que tengan más de T — diaz 


te 
[borrado manual del registro] Restaurar predeterminados 
|] Utilizar una conexión a baja velocidad Waciar registro 
Aceptar Cancelar 


Figura 6.15. Es importante configurar adecuadamente cómo reaccionar cuando se llena 
el archivo de registro de sucesos. 





362 Seguridad informática para empresas y particulares 


El valor es: 


Variable: CrashOnAuditFail 
Tipo: REG_DWORD 
Valor: l 


Esto hará que el sistema se detenga. Justo antes de detenerse el propio sistema modifica 
esta clave del registro al valor 2. El Administrador debe arrancar de nuevo el servidor y tras 
limpiar el archivo de registro debe volver a poner la clave CrashOnAuditFail a 1. 

A continuación se presenta la información de los sucesos y sus identificadores asociados 
para un correcto entendimiento de los mismos. 


Entrada/Salida al sistema 


Los sucesos del sistema de entrada/salida son vitales para controlar la actividad de un usua- 
rio. La entrada en el sistema se registra con un suceso ID 528, y presenta la siguiente infor- 
mación: 


Event Type: Success Audit 
Event Source: Security 
Event Category: Logon/Logoff 
Event ID: 520 


Date: 01/02/2004 

Time: TESE 

User: WORKGROUP \ Administrator 

Computer: WORK 

ESTADIO: 

Successful Logon: 
User Name: Administrator 
Domain: WORKGROUP 
Egon: MAA 
Logon Type: 2 
Logon Process: User32 
Authentication Package: Negotiate 


Workstation Name: WORK 


La información que suministra este suceso es el nombre del usuario, el dominio y un 
identificador de sesión que identifica la sesión del usuario de forma biunívoca. El suceso de 
salida asociado tendrá este mismo identificador de sesión, pero el código de suceso será 538. 

Es importante reseñar que dependiendo desde dónde se realiza la entrada al sistema se 
procederá a registrar el origen mediante el atributo “Logon Type”, que puede tomar los 
siguientes valores: 


2 Interactivo: Entrada al sistema desde la consola. 

3 Red: Entrada al sistema a través de la red. 

4 Batch: Entrada a la red desde un proceso por lotes o script programado. 
5 Servicio: Cuando un servicio arranca con su cuenta de usuario. 

6 Proxy: Cuando un usuario se autentifica al MS Proxy Server. 

7 Desbloqueo de estación. 


un DD DD D> 
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Los fallos de sesión quedan de igual manera registrados cada uno con un código 
identificativo diferente: 


D> >X SPÈ © 


D> 


uN 


529 Nombre de usuario desconocido o contraseña incorrecta: Intento de conexión al 
sistema con un nombre de usuario inexistente o contraseña incorrecta. Si se ven en el 
registro muchos eventos de estas características puede significar un intento de entra- 
da por ataques de fuerza bruta o de diccionario. 

530 Violación de la restricción horaria de inicio de sesión: Un usuario ha pretendido 
entrar al sistema en horas fuera del límite que tiene especificado. 

531 Cuenta deshabilitada: Intento de conexión con una cuenta deshabilitada. 

532 Cuenta expirada: Intento de conexión con una cuenta que ha expirado. 

533 Usuario no autorizado: Un usuario ha intentado conectarse, pero no posee auto- 
rización para hacerlo. 

534 Usuario sin permiso para el tipo de inicio solicitado: Un usuario ha intentado 
iniciar una sesión en el sistema mediante un método para el cual no posee privilegio 
o derecho. 

535 Contraseña caducada: Un usuario ha intentado entrar en un sistema con una 
contraseña caducada. 

536 Servicio NetLogon inactivo: El servicio NetLogon está detenido, motivo por el 
cual el usuario ha sido rechazado. 

537 Causa desconocida: Este evento se produce cuando un usuario no puede iniciar 
la sesión y el motivo no es ninguno de los aquí indicados. 

539 Cuenta bloqueada: Se ha intentado realizar un inicio de sesión y la cuenta que se 
usó está bloqueada. 


Una utilidad muy útil para el análisis de estos registros es NTLast (www.foundstone.com/ 
resources/proddesc/ntlast.htm), que permite comprobar las entradas al sistema tanto erró- 
neas como correctas. 


Acceso a los objetos 


El acceso a los objetos registra menor número de tipos de sucesos que el inicio/fin de sesión 
de un usuario. Los tipos de suceso de acceso a objetos son: 


Â 
8 


560 Apertura de un objeto: Un objeto ha sido abierto. 
562 Objeto cerrado: Un objeto ha sido cerrado. 
564 Objeto borrado: Un objeto ha sido borrado. 


Auditoría de procesos 


Para rastrear la actividad de un usuario es indispensable habilitar la auditoría de procesos. 
Así se permite determinar qué procesos está ejecutando un usuario. Los sucesos relativos a la 
auditoría de procesos son básicamente los descritos a continuación: 


8 


592: Inicio de un proceso. 
593: Salida de un proceso. 


Otras plataformas 


De igual manera que los sistemas Windows registran información de auditoría, los sistemas 
UNIX también lo realizan. En el caso de servidores Linux y otros dispositivos, el sistema de 
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registro viene provisto por la posibilidad del volcado de sucesos en varios archivos más el 
protocolo “syslog”. Las distintas aplicaciones que necesitan registrar sucesos los envían 
mediante este protocolo. Junto al servidor syslog existe un conjunto de archivos que permite 
trazar la actividad de los usuarios en el sistema. 


Comando SU: Mediante este comando se puede cambiar a otro usuario dentro de la 
misma sesión. Es frecuentemente utilizado por los intrusos para convertirse en root. 
Este comando registra su utilización mediante los archivos syslog. Es similar al 
comando Ejecutar como de Windows. 
Usuarios que han entrado: Esta información es almacenada en los archivos utmp, 
wtmp, lastlog y btmp. Estos archivos se encuentran en diversas ubicaciones depen- 
diendo de las distribuciones UNIX: UTMP (/etc /var/adm /usr/adm /usr/var/adm / 
var/log), WIMP (/etc /var/adm /usr/adm /usr/var/adm /var/log), LASTLOG (/usr/ 
var/adm /usr/adm /var/adm /var/log). La consulta de estos archivos se realiza con 
aplicaciones específicas como w, who, last o lastb. 

Procesos: El sistema operativo tiene la capacidad de activar el registro de los proce- 

sos que ejecuta cada usuario. Esta funcionalidad no suele estar habilitada por de- 

fecto. 

S Historia de comandos: Cada comando utilizado por el usuario es registrado en un 
archivo que se suele encontrar en un archivo oculto en el directorio del usuario 
(SHOME). Estos archivos se denominan de distinta forma: en sh es .sh_history, en 
csh es .history, en ksh es .sh_history, en bash es .bash_history y en zsh es .history. 


D> 


D> 


Registros de los elementos de comunicaciones 


Los elementos de comunicaciones disponen de sus propios registros de auditoría que permi- 
ten identificar tanto funcionamientos anómalos como posibles intrusiones en los mismos. 
Para poder analizar correctamente la información de los sistemas de comunicaciones es 
preciso saber interpretar los ataques más extendidos y la forma como quedan plasmados en 
los registros. 


Puertos 


Lo primero que debe saber un analista forense es interpretar los puertos origen y destino que 
se encuentran en los registros de las conexiones realizadas, tanto desde el exterior como 
desde dentro hacia afuera. 

Los puertos se dividen básicamente en tres grupos: 


Puertos “Bien conocidos”: Son aquellos que van desde el 0 al 1023. Normalmente el 
número de puerto nos indicará un servicio. Por ejemplo, el puerto 21 indicará un 
servidor FTP, el 80, un servidor Web, etc. 

Puertos registrados: Van desde el 1024 al 49151. Aunque son usados por muchos 
servicios, por ejemplo, Terminal Services 3389, no indican tan claramente un servi- 
cio, ya que muchas puertas traseras usan puertos en este rango y los varían con el 
tiempo. 

8 Puertos privados: Van desde el 49152 al 65535. La teoría dice que no se deben asig- 

nar servicios a esos puertos. 


D> 


Existen multitud de sitios en Internet donde se describen los puertos usados tanto por los 
servicios estándar como por programas maliciosos como puertas traseras (véanse las referen- 
cias al final del capítulo). 
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Direcciones IP 


La dirección IP es la fuente de información más importante de los registros. El problema es 
que si el intruso ha sido suficientemente hábil no habrá usado la suya propia. Existen distin- 
tas direcciones IP que no se usan para el tráfico normal de Internet sino para pruebas y redes 
privadas. Estas direcciones no deberían aparecer en los registros y se deberán bloquear en el 
dispositivo de filtrado. Estas direcciones son las siguientes: 


Direcciones de broadcast y direcciones de red: 0.0.0.0, 255.255.255.255 u otras di- 
recciones de broadcast pertenecientes a la propia red. 

Dirección local: 127.0.0.1 y cualquiera de esta clase A. 

Direcciones de multicast: Clase D 224.0.0.0 15.255.255.255. 

Direcciones de uso futuro: Clase E 240.0.0.0 7.255.255.255. 

Direcciones de uso privado: 192.168.0.0 255.255.0.0, 172.16.0.0 255.240.0.0 y 
10.0.0.0 255.0.0.0. 

Direcciones de autoconfiguración mediante DHCP: 169.254.0.0 255.255.0.0. 


un D> > > D> 
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> 


Las redes se componen de una dirección y una máscara. Así, por ejemplo, la 192.168.0.0 con máscara 
255.255.255.0, implica que es la red desde el PC 192.168.0.1 a 192.168.0.255. La red será 192.168.0.0, 
las direcciones válidas 192.168.0.1-192.168.0.254 y la dirección de broadcast 192.168.0.255. Existe 
otra forma de nombrar la misma red con la notación 192.168.0.0/24. 


Para poder determinar el dueño de una determinada dirección IP es posible acudir a los 
registros generales de direcciones IP. Esta tarea puede resultar infructuosa, ya que la investi- 
gación puede terminar conduciendo hasta un proxy o hasta una máquina que ha sido explo- 
tada y utilizada como cabeza de puente. 

Los registros se encuentran en las siguientes direcciones: 


_. América: ARIN (American Registry for Internet Numbers) en www.arin.net/whois. 

A Europea: RIPE (Reseaux IP Europeens) en www.ripe.net/db/whois.html. 

8 Asia y Pacífico: APNIC (Asia Pacific Network Information Centre) en www.apnic.net/ 
apnic-bin/whois.pl. 


Es posible que a veces se observe cómo se realizan pruebas desde distintas direcciones IP 
al mismo tiempo. Posiblemente lo que está sucediendo es que se está produciendo un ataque 
con señuelos (decoy). Se debe a que la herramienta que realiza las pruebas manda cada 
paquete necesario con diferentes direcciones IP origen, entre ellas incluida la del propio 
intruso. Como consecuencia, en los registros aparece como si se estuvieran realizando peti- 
ciones desde multitud de direcciones IP. Para intentar determinar cuál es la dirección IP 
válida se puede observar los campos TTL de las cabeceras IP y probar haciendo ping a cada 
una de las direcciones origen que han llegado. Únicamente aquella dirección donde el TTL 
sea muy similar será la verdadera dirección IP origen del atacante. 


Pruebas y ataques comunes 


En este punto se intenta examinar registros a posteriori, que han podido ser generados cuan- 
do la red analizada está sufriendo pruebas o ataques comunes, como: 


Traceroute. 
Rastreo ICMP. 
Rastreo de puertos UDP. 


DD» 
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Rastreo de conexión TCP. 

Rastreo de puertos semiconexión TCP. 
Rastreo de puertos oculto o de ID. 
Rastreo de puertos tipo FIN. 
Identificación de sistema operativo. 
Rastreo de puertos con DECOY. 
Inundación UDP. 


um DD >> > > 


En el Capítulo 4 se han comentado varias herramientas de análisis de seguridad que 
pueden ser utilizadas en estos ataques. En definitiva la ocultación de rastreos se sirve de las 
siguientes técnicas: 


Direcciones falsas. 

Información de relleno (decoy). 
Fragmentación del ataque. 
Temporizadores. 

Escaneo oculto. 

Escaneo semiconexión. 

Utilización de pasarelas intermedias. 


un DDD > >» 


En los elementos de comunicaciones, al igual que en los sistemas, es importante sincronizar 
la hora del sistema para poder interpretar la información de manera correcta. Generalmente, 
los sistemas pueden enviar la información a la consola o interfaz y de forma añadida a un 
servidor syslog. Un servidor de syslog recoge por la red mediante mensajes UDP al puerto 
514 los eventos de uno o varios servidores, almacenándolos en local, en archivo o en base de 
datos, para su posterior análisis. 

Los equipos Windows XP/2000/2003 utilizan el protocolo de tiempo de red (Network 
Time Protocol o NTP) para la sincronización de relojes. Por defecto, los equipos en un domi- 
nio de Directivo Activo sincronizan automáticamente sus relojes con el controlador de domi- 
nio. Para sincronizar los equipos que no forman parte de un dominio: 


1. Seleccione Inicio>Panel de control y haga doble clic sobre el icono Fecha y hora. 

2. Seleccione la pestaña Hora de Internet y verifique la casilla Sincronizar automáti- 
camente con un servidor horario de Internet. (Véase Figura 6.16.) 

3. Para asegurarse de que el servicio funciona correctamente, seleccione uno de la lista 
y pulse el botón Actualizar ahora. 

4. Pulse Aceptar. 


Registros de las aplicaciones 


Las aplicaciones suelen disponer de un registro que normalmente puede ser personalizado 
por el administrador. Los valores normales suelen denominarse loglevel. Si bien la capaci- 
dad de registro no tiene por qué estar presente en todas las aplicaciones, es corriente el poder 
ofrecer un registro de actividad o al menos las opciones críticas del mismo. 

Para los programas desarrollados por la propia organización es igualmente recomenda- 
ble la inclusión de un registro de auditoría en el que plasmar tanto la información referente 
a los inicios de sesión y finalización de la misma, como de las opciones ejecutadas, especial- 
mente las que sean críticas para el sistema. 

Un ejemplo típico de registros de aplicación son los generados por las aplicaciones Web. 
En las trazas que se obtienen de los accesos de los usuarios aparece multitud de información 
sobre los ataques recibidos. Por ejemplo, peticiones incluyendo cadenas como “OR 1”, 
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Propiedades de Fecha y hora 


Fecha y hora || Zona horaria | Hora de Internet 


Sincronizar automáticamente con un servidor horario de Internet 


Servidor: | time. windows, com ¡Actualizar ahora < 


Se sincronizó correctamente la hora con time. windows. com el 13/07/2004 
a las 0:22, 


Próxima sincronización: 20/07/2004 a las 0:22 


La sincronización sólo se puede realizar cuando su equipo esté conectado 
a Internet. Más información acerca de sicronización de hora en el Centro 
de ayuda y soporte técnico. 





Figura 6.16. Configuración de la sincronización horaria automática. 


“SELECT * FROM?, etc. son indicativos claros de posibles intentos de inyección de SQL. En 
toda aplicación Web, habría que configurar el servidor (véase Figura 6.17) para que registre 
la siguiente información de cada petición: 


DD» 


D> 
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Dirección IP del cliente. 

Nombre de usuario, cuando se utiliza autenticación básica o integrada. 

Método o verbo utilizado en la petición: Normalmente, cualquier método que no sea 
GET o POST resulta sospechoso. 

Recurso visitado: Si se piden recursos como global.asa, cmd.exe, _vti_cnf, etc., se 
está siendo atacado. 

Consulta solicitada: Cuando el navegador envía un formulario mediante el método 
GET, los datos de la consulta puedan registrarse en el servidor, no así en el caso de 
POST. Esta columna permite descubrir ataques de inyección de SQL o de Cross-Site 
Scripting (XSS). 

Estado de protocolo: Los errores 500 son indicativo inequívoco de que se está siendo 
atacado y, posiblemente, con éxito. 

Subestado protocolo: Ofrecen información extendida sobre el tipo de error provoca- 
do en el servidor. 

Bytes recibidos: Si se reciben peticiones inusualmente largas, con toda probabilidad 
están intentando un ataque de desbordamiento de búfer, caracterizados precisamente 
por la gran longitud de su carga explosiva. 

Tiempo empleado: Si el servidor emplea tiempos inusualmente largos en responder, 
una de dos: o está fallando la aplicación, o un atacante está utilizando un canal 
subliminal para transmisión de información. En cualquier caso, algo raro pasa. 
Agente de usuario, es decir, el tipo de navegador utilizado por el atacante. Algunas 
herramientas de análisis de vulnerabilidades utilizan su propio nombre como agente 
de usuario. 
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Propiedades del registro extendido 


Propiedades generales| Propiedades estendidas 


Opciones de registro extendidas 


bétodo | cs-method ] 

Recurso JUAI] visitado [ ce-ur-=tern ] 
Consulta [URI] solicitada [ cs-uri-query ] 
P] Estado W'n32 [2c-win3.2-status ] 

C] Eptes enviados [ =c-bptez ] 

Bytes recibidos [ cs-bptez ] 

C] Host [cs-host ] 

Cookie [ cs[Eookie) ] 

Sitlo de referencia | ce[Reterer] ] 
Dirección IP del cliente [ c-ip ] 

C] Dirección IP del servidor | -ip ] 

|] Puerto del servidor | *-port ] 

Estado del protocolo | sc-statuz ] 
Tiempo consumido [ time-taker ] 


m L RA I I I r i 





Figura 6.17. Configuración de la auditoría en IIS. 


Â Cookie: Registrar el valor de las cookies es fundamental para identificar la cuenta de 
usuario utilizada por los intrusos que están realizando el ataque o para detectar ata- 
ques de fuerza bruta o envenenamiento de cookies. 

S Sitio de referencia: La cabecera Referer indica de qué página procede la petición. 


Una herramienta de valor incalculable para examinar este tipo de logs se llama Log 
Parser y la distribuye Microsoft gratuitamente. Log Parser soporta múltiples formatos de 
entrada, incluidos por supuesto todos los de IIS, así como múltiples formatos de salida, 
incluyendo archivos de texto y tablas de bases de datos. Se puede utilizar como una herra- 
mienta de línea de comandos sin interfaz gráfico o como un conjunto de objetos COM. Para 
extraer la información, Log Parser utiliza consultas de tipo SQL. Además de los registros de 
IIS, Log Parser también es capaz de aceptar como entrada registros del visor de sucesos y 
archivos genéricos CSV (Comma Separated Value). Esta utilísima herramienta, junto con la 
documentación para su uso, se puede descargar desde www.microsoft.com/windows2000/ 
downloads/tools/logparser. 

En el caso de aplicaciones de bases de datos deben seguirse los mismos principios. SQL 
Server 2000 carece de capacidad de auditoría sofisticada, pero deberían habilitarse al menos 
sucesos como los inicios de sesión fallidos. En el caso de Oracle, sus posibilidades de auditoría 
son abrumadoras, por lo que resulta fundamental crear primero un plan de auditoría en el que 
se definan las áreas a auditar, qué acciones auditar, qué información recoger sobre cada 
suceso, dónde almacenar los rastros de auditoría, evaluar su impacto en el rendimiento global 
del sistema, planificar la revisión de los registros generados y protegerlos adecuadamente. 

El mayor problema que se presenta en las aplicaciones es que, aun las que generan infor- 
mación de registro, no lo realizan siempre de forma explotable por el usuario, lo que dismi- 
nuye en gran medida su utilidad. Se recomienda controlar el registro de actividad de las 
aplicaciones, así como la exigencia a los proveedores de aplicaciones de la inclusión de 
registros efectivos y tratables en sus aplicativos. 
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Herramientas de análisis de registros 


Para realizar un análisis automático de registros de auditoría se pueden tomar dos vías: 


Creación de scripts personalizados mediante lenguajes que manipulan cadenas de 
manera fácil, como perl o awk. 

8 Utilización de programas desarrollados por terceros para tratar registros. En este 
campo existen multitud de programas, que pueden clasificarse en tres grandes gru- 
pos: análisis específico de registros de una aplicación, como fwanalog para cortafuegos; 
análisis genérico para múltiples aplicaciones, como swatch; y correladores de diver- 
sas fuentes. 


NOJÍN Para obtener más información acerca de dónde descargar los programas, manuales así como técnicas 
de análisis de registros, puede acudir a www.loganalysis.org. 


Análisis forense 


Tal y como se vio en la Figura 1.3, la seguridad de un sistema puede desarrollarse en base a 
tres ejes: elementos preventivos, detectivos y de recuperación. Desde otro punto de vista, 
recogido en la Figura 6.1, también pueden enfocarse los trabajos de seguridad como un 
antes, un durante y un después. El análisis forense de sistemas comprende precisamente esta 
última fase, presentando como objetivo el averiguar lo ocurrido durante una intrusión. El 
análisis forense, como si de un delito tradicional se tratase, comprende las fases de captura 
de las evidencias y su protección, el análisis de las mismas, así como el estudio del sistema 
para detectar posibles programas sospechosos. 

En la presente sección se tratarán todas las fases del análisis forense: en la primera se 
captura todo aquello que resulte susceptible de posible análisis posterior y que puede arrojar 
luz sobre detalles de muestras de un delito. El análisis de la evidencia es la fase más extensa 
y delicada, ya que requiere poseer conocimientos avanzados para poder interpretar las prue- 
bas incautadas. Dependiendo de la calidad de los datos de registro se podrá realizar de forma 
más o menos sencilla el análisis de la evidencia, así como dependiendo de la información 
existente se procederá a obtener unos resultados más o menos satisfactorios. 


Captura de la evidencia 


El primer paso en todo análisis forense comprende la captura de la evidencia. La evidencia 
será la prueba del delito, en definitiva, la que delatará al intruso. El objetivo de la captura no 
sólo es la obtención de la misma, sino que para ello se debe proceder con el máximo cuidado. 
La modificación de la prueba varía la evidencia, por lo que puede hacer inútil el análisis 
posterior, así como su validez en un juicio. 

En definitiva, el primer paso dentro de la captura de la evidencia es el análisis desde 
fuera del escenario a capturar. Se debe proceder con cautela para no modificar pista alguna, 
así como realizar la captura de la evidencia con herramientas que no modifiquen ni el entor- 
no ni la prueba en sí. 

El segundo paso dentro de la captura de la evidencia suele dividirse en dos: la captura de 
la evidencia volátil y la captura de la evidencia física. 


Evidencia volátil 


La evidencia volátil comprende la información que desaparece cuando un sistema informático 
pierde la alimentación de corriente. Por consiguiente, esta información comprende tanto la 
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memoria, los procesos y cuentas del sistema, así como la información de la red en el momen- 
to de la captura. 

Para realizar una captura de dichos elementos sin modificar en modo alguno la prueba, lo 
mejor es valerse de un CD o dispositivo externo con los programas instalados para la ejecu- 
ción de los comandos necesarios. Este soporte con información no alterada ni alterable por el 
sistema a analizar es vital, ya que la prueba podría contener virus, rootkits, gusanos, etc. que 
pudieran alterar la captura. 

Se procede por tanto a realizar la captura de la evidencia volátil de cada uno de los 
componentes. (Vésae Tabla 6.5.) 


Memoria 


La captura de la memoria es la tarea principal dentro de la evidencia volátil. Para ello se 
puede optar por realizar un copiado de la memoria mediante la ayuda de un programa o el 
forzado de un cuelgue del sistema que provoque el volcado de memoria a archivo. En este 
contexto suele utilizarse el programa dd (uranus.it.swin.edu.au/~jn/linux/rawwrite/dd.htm), 
tanto para plataformas Windows como UNIX. Se ejecuta el programa dd y se le pasa por 
parámetro el archivo de entrada (1f) y el archivo de salida (of) y, si se desea, el tamaño de 
bloque (bs) para la copia. 
Para capturar la memoria en plataformas windows 


> dd.exe ifs\\.\PhysicalMemory bs=1024 of=\tmp\memoria.img 
Para capturar la memoria en plataforma LINUX 
# dd.exe if=/dev/mem bs=1024 of=\tmp\memoria.img 
Es posible también capturar la memoria asociada a un proceso en particular tanto en 
plataforma Windows como en plataforma Linux. 
En Windows: 
O a r e e O e g 
En Linux: 
++ pcat id de proceso > proceso id.img 
Existe una suite para el análisis forense ampliamente conocida denominada TCT, The 


Coroner”s Toolkit, que se puede encontrar en www.fish.com/tct. La herramienta pcat esta 
disponible dentro de dicha suite. 


Tabla 6.5. Memoria general, procesos y configuración. 


Captura Windows Linux 
Memoria dd Dd 
Procesos pmlist Prat 


Configuración DumReg /proc y /etc 


Capítulo 6: Auditoría, detección de intrusiones y análisis forense 371 


Procesos en ejecución 


Resulta igualmente útil capturar la información de los procesos y controladores de dispositi- 
vos (drivers) cargados en un momento en particular. En la Tabla 6.6 se muestran los coman- 
dos para capturar los procesos y drivers. 

El comando pv está incluido dentro del preview disponible en www.xmlsp.com/pview/ 
preview.htm. Las herramientas handle y listdlls se pueden encontrar en la Web de Sysinternals 
en www.sysinternals.com/ntw2k/utilities.shtml. La utilidad strace está disponible en la Web 
de SecuriTeam en www.securiteam.com/tools/5WP0C000HY. html. 


Cuentas de usuarios 


Dado que los intrusos suelen crear a menudo cuentas con privilegios, es necesario también 
obtener una copia de los usuarios existentes así como de los grupos creados. (Véase Tabla 6.7.) 
Pwdump2 puede ser encontrado en la Web de bindview en www.bindview.com, mien- 
tras que pwdump3, la versión más moderna de esta herramienta con soporte para claves con 
syskey y sin necesidad de ser administrador para su ejecución, está disponible en 
www.polivec.com. Los programas para obtener la información de los grupos y configuración 
de control de acceso dumpsec y dumpacl pueden ser encontrados en www.somarsoft.com. 


Datos de la red 


Es importante obtener toda la información sobre los interfaces de red, así como los distintos 
programas que escuchan en el momento de la captura. Las puertas traseras, gusanos o virus 
suelen dejar pistas al abrir puertos determinados, especialmente cuando dejan conexiones a 
la escucha. Los rastreadores de red (sniffers) instalados en los sistemas también dejarán pista 
en este apartado al poder ver en este punto los interfaces que están en modo promiscuo. 

Fport es una herramienta de foundstone (www.foundstone.com) que permite ver las 
conexiones activas así como el proceso que está escuchando en la misma. La utilidad 
promiscdetect sirve para detectar interfaces en modo promiscuo. Está disponible en la Web 
del grupo ntsecurity en ntsecurity.nu/toolbox/promiscdetect. (Véase Tabla 6.8.) 


Tabla 6.6. Procesos. 


Captura Windows Linux 
Procesos pv ps 
Archivos handle Isof 
Módulos listdlls Ismod 
Trazas strace strace 


Tabla 6.7. Usuarios y grupos. 


Captura Windows Linux 
Usuarios Pwdump /etc/passwd 
Grupos Dumpsec /etc/groups 


Permisos Dumpacl ls —| y getfacl 
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Tabla 6.8. Red. 


Captura Windows Linux 
Conexiones Netstat / fport netstat 
Promiscuo Promiscdetect 1p addr sh 
Información ipconfig /all ifconfig 
Cache ARP arp —a arp —a 


Evidencia de disco 


La evidencia almacenada en el disco puede ser capturada sin necesidad de tener la máquina 
encendida. Para ello normalmente se realiza el apagado del sistema en cuestión y posterior- 
mente se procede a extraer la información almacenada montando la unidad en otro equipo o 
iniciando desde un CD o disquete un nuevo sistema operativo desde el que se realizará la 
captura. 

Para realizar la captura es necesario buscar un soporte donde ubicar los datos. Existen 
dos opciones: copiar los datos a un disco nuevo insertado en el sistema, ya sea interno o 
externo, o realizar la copia a través de la red. 

Existen varias distribuciones especificas para realizar esta captura entre las que desta- 
can: Knoppix CD, F.I.R.E (Forensic and Incident Response Environment), Norton Ghost y 
Trinux. Las herramientas presentadas permiten el autoarranque desde CD y el volcado de la 
información del disco a un archivo. 

Para duplicar la información alojada en un disco se puede uno valer de la utilidad ante- 
riormente citada dd, mediante la cual se puede elegir un origen de datos y un destino, pu- 
diendo extraer la información de un volumen fácilmente a un archivo o mediante la utilidad 
netcat enviarla por la red. 

Captura a disco: 


+ dd if=/dev/imagen of=/tmp/archivo 


Captura a disco por la red: 


Origen: + dd if=/dev/imagen | nc IP Puerto 
Destino: nc -1 -p puerto > /imagen. ¡mg 


Una vez se ha capturado la información, se puede realizar el firmado MDS del archivo 
para salvaguardar su integridad, pieza clave si se desea que sea admitido como prueba. 

Reviste gran importancia asegurarse en todo momento de que la información almacena- 
da en disco no ha sido manipulada subrepticiamente. En esta sección se explican los meca- 
nismos existentes para proteger la integridad de archivos de sistema, archivos de datos y 
registros de bases de datos. 


Análisis de la evidencia volátil 


Una vez ha sido capturada la evidencia, se procede a la segunda fase del trabajo forense: el 
análisis. Dado que se han capturado dos tipos de pruebas, se realizarán dos tipos de análisis. 
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El análisis de los datos capturados de disco es peculiar, puesto que lo que se busca son 
archivos, fechas, modificaciones, etc. Por el contrario, en la búsqueda de la evidencia volátil 
se realizarán análisis para encontrar datos característicos de un ataque en puertos abiertos, 
procesos sospechosos en ejecución, etc. 

Lo primero es buscar dentro de la memoria posibles cadenas sospechosas, para lo cual se 
puede utilizar el comando strings, y mediante la ayuda del comando grep, realizar la compa- 
ración de información. 


MISC NOM encadena US Calas 


Adicionalmente es útil buscar: 


Procesos sospechosos. 

Archivos abiertos sospechosos. 

Conexiones abiertas. 

Conexiones en escucha. 

Entradas ARP sospechosas. 

Interfaces en modo promiscuo. 

Cuentas de usuario nuevas. 

Usuarios pertenecientes a grupos con privilegios. 


a D > >> JD >» 


Para la detección de rootkits se puede emplear la ayuda de programas específicos que 
realizan dicha tarea, realizando una búsqueda exhaustiva por el disco, procesos en ejecución 
y memoria del sistema con el objeto de localizar cadenas características de dichos progra- 
mas. Para plataforma UNIX se dispone del comando chkrootkit, el cual tan sólo con ser 
llamado realizará la búsqueda por memoria y disco con el objeto de localizar los programas 
y cadenas sospechosas. 


Análisis de la información de disco 


Después de realizar la captura de la información del disco se procede a su análisis. 
Para realizar un análisis a fondo de la información del disco es necesario conocer la estruc- 
tura de cómo se almacenan los archivos en el disco. Por consiguiente, será necesario conocer 
el formato NTFS para Windows XP/2000/2003, ext2 para LINUX o FAT para Windows 95/ 
98/Me. 

El análisis puede dividirse en dos fases: La búsqueda de información dentro de archivos 
de auditoría y la indagación para obtener pistas de la información almacenada en disco. 


Archivos de auditoría 


Si existen registros de auditoría, lo primero será extraer dicha información de la imagen 
para su análisis exhaustivo. Dicha información puede ser tratada con programas automát1- 
cos o manualmente, con el objeto de detectar la información que delate al intruso. 


Búsqueda dentro del sistema de archivos 


Dentro de la información almacenada en disco se pueden buscar diversas pistas típicas que 
denotan la existencia de un intruso. Como si de un detective se tratase, la experiencia pro- 
porcionará el bagaje necesario para acometer los casos más difíciles. 
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A continuación se presentan los puntos clave a detallar dentro del análisis del disco: 


D> 


D> 


D> 


Archivos de arranque: Los archivos de arranque que se ejecutan automáticamente en 
el inicio de sesión son un punto clave donde los intrusos ubican sus programas con 
puertas traseras para asegurarse de que estarán activos aunque la máquina sea 
reiniciada. Por ello deben ser examinados para tener la certeza de la no existencia de 
puertas traseras. Los archivos a controlar dentro de la plataforma Windows son el 
subdirectorio de inicio: C:\Documents and Settings\Administrator\Start Menu\ 
Programs\Startup, y las siguientes claves del Registro colgando de HKEY_LOCAL_ 
MACHINE\Software\Microsoft\Windows: CurrentVersion\RunServices, Current 
Version\Run y CurrentVersion\RunOnce. Dentro de la plataforma UNIX, los archi- 
vos rc.d de arranque, .bash y los .profile de los usuarios deben ser examinados de 
igual manera. Existen otras técnicas como la asociación de extensiones ejecutables, 
la ejecución de controles ActiveX en el arranque y la modificación del archivo 
Explorer.exe que es llamado en el momento de inicio para proporcionar una shell al 
usuario. En resumen, deben controlarse todos los archivos procesados en el arranque 
para poder saber si existen programas maliciosos que se cargan automáticamente 
durante el mismo. 

Saber el tipo de archivo: Dentro del análisis se mirará también la identificación del 
tipo de archivo que se está tratando. Uno puede fiarse de la extensión del archivo o 
utilizar un programa que analice el contenido para determinar el tipo de archivo en 
cuestión normalmente en función de la cabecera. Para realizar una comprobación 
exhaustiva se tiene el comando file. Los archivos comprimidos deberán ser extraídos 
para poder comprobar todo el contenido de los mismos. Los datos que estén cifrados 
serán un problema para poder averiguar su contenido. Se identificarán para un aná- 
lisis posterior por si fueran requeridos. La clave para el descifrado podrá intentar ser 
obtenida mediante técnicas de hacking o por orden judicial. 

Ocultación de archivos: Los intrusos a menudo ocultan la información que introdu- 
cen en los sistemas mediante diversas técnicas. En los sistemas de plataforma Microsoft 
se puede ocultar la información de forma básica con ayuda del comando attrib, mar- 
cando el archivo como oculto (hidden). 


Dn arenivota to cua 


En los sistemas Windows formateados con NTFS se puede emplear una técni- 

ca denominada NTFS streaming, mediante la cual es posible ocultar archivos dentro 
de otros. En la plataforma UNIX tradicionalmente se ha podido ocultar un archivo 
mediante su nombre, puesto que todos los archivos que empiezan por . son ocultados 
a los usuarios. 
Permisos de los archivos: Los archivos poseen unos permisos dentro de los sistemas 
Windows o UNIX. La modificación de los permisos por los intrusos constituye un 
rasgo característico de una intrusión. En los sistemas UNIX, los intrusos se suelen 
valer de programas con el atributo SETUID, ejecución con permisos del propietario 
y no del ejecutor, para elevar privilegios. Para realizar una búsqueda de este tipo de 
archivos en el disco se puede realizar la siguiente comprobación: 


# find / -perm -004000 -type f -print 
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D> 


Archivos borrados (total/parcialmente): Es importante realizar una recuperación de 
los archivos borrados, especialmente de los que planteen una sospecha aparente. La 
información en el disco permanece cuando se borra un archivo, ya que el sistema de 
archivos lo único que realiza es la marcación del espacio del archivo borrado como 
libre, pero no procede a su eliminación. Es posible tanto acceder a la información 
para recuperar el archivo como visualizar el disco a bajo nivel y observar los sectores 
con datos que están marcados como libres. 

Búsqueda por fechas: Establecer una línea de tiempo de los últimos archivos accedi- 
dos y modificados es muy útil dentro del análisis forense, dado que sirve para reali- 
zar una foto en el tiempo sobre la posible escena del delito. La información de una 
clasificación de los archivos por fechas es vital por tanto dentro del análisis forense. 
Los archivos dentro de los sistemas tradicionales suelen tener tres fechas: última 
fecha de acceso, última fecha de modificación y fecha de creación. 

§ Comprobación de firmas: Una de las técnicas más utilizadas consiste en la compara- 
ción de la firma de los archivos, creada mediante una función hash tipo md5 o shal, 
con una firma almacenada con anterioridad. La técnica es muy simple, pero muy 
potente. Dado que puede asumirse que el identificador md5 de un determinado ar- 
chivo es a priori único, si se procede a calcular el identificador con posterioridad y no 
coincide con el primero, se tendrá la certeza de que el archivo ha sido modificado. 


D> 


Análisis de programas sospechosos 


Una vez que se ha realizado la captura de la evidencia y ésta ha sido analizada, el análisis 
forense puede darse por finalizado con las conclusiones extraídas del análisis. Existe otra 
área importante dentro del ámbito del análisis forense que puede ser catalogada como la 
investigación de determinados programas sospechosos. Un sistema en ejecución puede con- 
tener diversos programas que pueden ocultar puertas traseras o ser en sí mismos una. 

Los programas pueden estar desarrollados como un script o como un binario ejecutable. 
El primer tipo presenta la ventaja de ofrecer el código del mismo, con lo que mediante el 
análisis del código fuente se puede obtener una idea de la existencia de porciones de código 
maligno. 

Los ejecutables del sistema, por el contrario, deben ser trazados (traced) o decompilados 
para poder ser correctamente analizados. La primera técnica consiste en monitorizar todas 
las llamadas al sistema operativo y el acceso a los dispositivos de entrada/salida. Para reali- 
zar un análisis de la ejecución de este tipo de programas se debe preparar un entorno seguro 
de pruebas. Este entorno suele ser un sistema operativo instalado a tal efecto. Mejor que la 
instalación de un sistema desde cero es la utilización de un software tipo VMware, que 
posibilita la instalación de sistemas operativos en modo no permanente. Mediante dicha 
instalación se puede analizar cualquier programa sospechoso sin miedo a afectar al sistema 
anfitrión y, como ventaja adicional, al reiniciar el ordenador la máquina virtual no se verá 
afectada, ya que las grabaciones a disco no son permanentes. Para más información sobre las 
máquinas virtuales y VMware, consulte la sección “Armas contra el malware” del Capítulo 5. 
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den resultar de utilidad para comprobar si se están aplicando los principios explica- 
dos a lo largo del libro. Como cualquier solución de seguridad, estas listas deben 
contemplarse con cautela. Por un lado, las listas no son exhaustivas, en el sentido de que no 
recogen todas las configuraciones posibles. La confección de listas así sería interminable. 
Por otro lado, carece de todo sentido pretender realizar todas las tareas por el mero hecho de 
que estén en la lista. En cada circunstancia habrá que evaluar cuáles conviene aplicar. Están 
ahí para que se acuerde de ellas, a modo de recapitulación de buena parte de lo visto a largo 
de las páginas de este libro, no para que las aplique todas. 
Antes de poner en práctica todos y cada uno de los controles de seguridad reseñados, debe 
hacerse las siguientes preguntas: 


E ste apéndice recoge varias listas de tareas de seguridad (security checklists), que pue- 


¿Realmente la práctica mitiga un riesgo o satisface una expectativa de seguridad? 
A ¿Se puede implantar la práctica según lo planificado? 
8  ¿Compensa su coste el beneficio obtenido de la práctica? 


A la hora de evaluar una práctica, debe ser capaz de describir: 


El activo a proteger y sus requisitos de seguridad. 
A El valor relativo y específico del activo. 
8 Cómo contribuirá la práctica a la protección del activo. 


La práctica totalidad de tareas ha sido explicada en algún capítulo anterior. Las listas de 
este apéndice cubren los siguientes aspectos de seguridad: 


Organización de la seguridad. 

Configuración segura de puestos de trabajo con Windows XP. 
Configuración segura de servidores con Windows 2000/2003. 
Configuración segura de redes. 

Uso de Internet. 


un DD D 


Organización de la seguridad 
Políticas de seguridad 


Å Uso aceptable de los recursos de la organización: Se ha definido el uso aceptable de 
impresoras, faxes, teléfonos, fotocopiadoras, etc. y las sanciones por su mal uso. 
Gestión de cuentas: Se han definido estándares y procedimientos para la creación, 
distribución y revocación de cuentas de usuario. 

Información confidencial: Se han establecido la responsabilidad y las medidas ade- 
cuadas para proteger la información confidencial frente a revelación o modificación. 
Uso de correo electrónico: Se han creado directrices definiendo el alcance, compor- 
tamiento y prácticas para su uso. 

Respuesta a incidentes: Se ha definido un plan de respuesta para manejar y solucio- 
nar incidentes de seguridad. 

Acceso a Internet: Se han creado directrices definiendo el alcance, comportamiento y 
prácticas para su uso. 

Ordenadores portátiles: Se han creado directrices definiendo el alcance, comporta- 
miento y prácticas para su uso. 

Contraseñas: Se han definido estándares y procedimientos para la composición, crea- 
ción, distribución, uso y revocación de contraseñas. 


> > > > > po po 
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Privacidad: Se han establecido la responsabilidad y las medidas adecuadas para pro- 
teger la privacidad y datos de carácter personal en cumplimiento de la legislación 
aplicable. 

Formación y concienciación en seguridad: Se ha formado y educado a todos lo usua- 
rios de recursos informáticos, especialmente a los que están en contacto con activos 
importantes. 

Licencias de software: Se han establecido la responsabilidad y las medidas ade- 
cuadas. 

Plan de contingencia: Se han definido políticas, procedimientos y mecanismos para 
la creación, puesta a prueba y revisión de planes de continuidad de negocio y recupe- 
ración ante desastres, incluyendo procedimientos y normas para la realización de 
copias de seguridad. 

Protección antivirus: Se han definido estándares y procedimientos para la instala- 
ción, operación y actualización de antivirus. 

Control de acceso lógico: Se han definido los mecanismos de control de acceso remo- 
to a la red y quién está autorizado para conectarse. 

Seguridad de red: Se han definido las políticas y procedimientos de implantación de 
cortafuegos, detectores de intrusos, redes privadas virtuales, etc. 


Seguridad física 


> >>> John 


Se ha realizado un inventario de todo el equipamiento informático de la organización. 
Las copias de seguridad se almacenan en un armario o caja seguros, con cerradura. 
Cuando no se utilizan, los papeles, disquetes, CD-ROM, DVD, y cualquier otro so- 
porte portátil de información se guardan bajo llave. 

Se han protegido los puntos de acceso a la organización con puertas, ventanas, rejas, etc. 
Se ha instalado un sistema de alarma centralizado. 

La sala con los ordenadores está adecuadamente ventilada y refrigerada. 

Se ha instalado un sistema de detección de incendios. 

Se han instalado bases de enchufes con protección contra sobretensiones y SAI en los 
sistemas críticos. 

Ninguna persona no autorizada puede acceder físicamente a los equipos, especial- 
mente a los que manejan información crítica. 


Configuración segura de puestos de trabajo 
con Windows XP 


Parches y actualizaciones 


Å 
Å 


Se han instalado los últimos Service Packs. 
Se han instalado los últimos HotFixes postServicePacks apropiados. 
Se ha activado la alerta automática de actualizaciones. 


Mantenerse seguro 


Å 


Do Do Do po 


Se ejecuta regularmente MBSA para comprobar la necesidad de instalar nuevas ac- 
tualizaciones y la seguridad de la configuración actual del equipo. 

Se realizan copias de seguridad regularmente y se almacenan en lugar seguro. 

Se han activado y se monitorizan regularmente los registros de auditoría. 

Se utilizan directivas de restricción de uso de software. 

Se ha instalado un antivirus, está activo y se mantiene continuamente actualizado. 
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Sistema de archivos 


Å Seha verificado que todas las particiones de disco se han formateado como NTFS. 
Se han protegido archivos y directorios. 

Å Se han cifrado los archivos sensibles mediante EFS u otra utilidad de cifrado de 
archivos. 


Protocolos 


Å Se han deshabilitado NetBIOS y SMB (se han cerrado los puertos 137, 138, 139 y 
445). 

Se ha deshabilitado el servicio UPnP. 

Se utiliza el cortafuegos personal de Windows XP u otro producto similar. 

Se ha deshabilitado el escritorio remoto si no se utiliza. 


Do Do po 


Cuentas 


Las cuentas de usuario utilizan contraseña. 

Se han borrado o deshabilitado las cuentas inactivas O innecesarias. 

Se ha comprobado que la cuenta para el acceso como invitado (Invitado o Guest) está 
deshabilitada. 

Se han aplicado directivas de contraseñas robustas. 

Se han aplicado directivas de bloqueos de cuentas. 

Se ha desactivado el intercambio rápido de usuarios. 

Se ha activado la protección con contraseña del protector de pantalla. 
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Servicios 


Å Se han deshabilitado todos los servicios innecesarios. 
Se utilizan cuentas no privilegiadas para ejecutar los servicios. 


Registro 


Å Se ha protegido el Registro ante accesos anónimos. 
Å Se han aplicado los permisos adecuados en las ACLs del Registro 
Se ha restringido el acceso a la información de la LSA pública del sistema. 


Recursos compartidos 


Å Se han eliminado todas las comparticiones innecesarias de archivos y carpetas. 
Å Se han fijado los permisos apropiados en las ACLs de archivos y carpetas que es 
necesario compartir. 


Configuración segura de servidores 
con Windows 2000/2003 


Parches y actualizaciones 


Å Se han instalado los últimos Service Packs. 
Å Se han instalado los últimos HotFixes postServicePacks apropiados. 
Å Seha implantado una estrategia de actualizaciones de seguridad con WUS o SMS. 


Apéndice A: Listas de tareas de seguridad 383 


Mantenerse seguro 


Å 
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Se ejecuta regularmente MBSA para comprobar la necesidad de instalar nuevas ac- 
tualizaciones. 

Se realizan copias de seguridad regularmente y se almacenan en lugar seguro. 

Se han activado y se monitorizan regularmente los registros de auditoría. 

Se utilizan directivas de restricción de uso de software. 

Se ha instalado un antivirus, está activo y se mantiene continuamente actualizado. 
Se ha suscrito al servicio de notificación de seguridad de Microsoft y a otras listas 
similares de los fabricantes del resto de productos y equipos de la organización. 

Se realizan auditorías periódicas, por personal interno o mejor contratadas externa- 
mente. 


Sistema de archivos 


Å Seha verificado que todas las particiones de disco se han formateado como NTFS. 
Se han protegido archivos y directorios. 

Å Se han eliminado kits de recursos, utilidades y SDKs. 

Å Se han eliminado las aplicaciones de ejemplo de las aplicaciones instaladas. 

Protocolos 
Å Se han deshabilitado NetBIOS y SMB (se han cerrado los puertos 137, 138, 139 y 445). 
Å Seha fortalecido la pila TCP/IP. 

Cuentas 

Å Seha verificado que la cuenta del Administrador posee una contraseña robusta. 

Å Se han borrado o deshabilitado las cuentas inactivas o innecesarias, tanto de usuarios 
como de aplicaciones y servicios. 

Å Se ha comprobado que la cuenta para el acceso como invitado (Invitado o Guest) está 
deshabilitada. 

Å Se han aplicado directivas de contraseñas robustas. 

Å Se han aplicado directivas de bloqueos de cuentas. 

Å Se ha configurado de manera segura la cuenta del Administrador: la cuenta Admi- 
nistrador se ha renombrado, se ha creado una cuenta señuelo sin privilegios llamada 
Administrador, se ha habilitado el bloqueo de la cuenta Administrador auténtica 
mediante la utilidad passprop y en equipos en un dominio se ha deshabilitado la 
cuenta de Administrador local. 

Å Seha revocado el permiso “Depurar programas” a todas las cuentas, excepto las que 
lo necesiten. 

Å Seha configurado un mensaje de aviso durante el inicio de sesión. 

Å Se han restringido los inicios de sesión remotos: El privilegio “Acceder a este quipo 
desde la red” se ha eliminado del grupo Todos. 

Å Seha activado la protección con contraseña del protector de pantalla. 

Servicios 

Å Se han deshabilitado todos los servicios innecesarios. 

No se han instalado aplicaciones innecesarias para la función que cumple el servidor. 

Å Se utilizan cuentas no privilegiadas para ejecutar los servicios. 


384 Seguridad informática para empresas y particulares 


Registro 
Å Se ha protegido el Registro ante accesos anónimos. 
Å Se han aplicado los permisos adecuados en las ACL del Registro 
Se ha restringido el acceso a la información pública de la LSA del sistema. 


Recursos compartidos 


Å Se han eliminado todas las comparticiones innecesarias de archivos y carpetas. 
Å Se han fijado los permisos apropiados en las ACL de archivos y carpetas compartidos. 


Configuración segura de redes 


Routers 
Å Se han instalado los últimos parches y actualizaciones de seguridad. 
Å Seha suscrito al servicio de notificación de alertas de seguridad del fabricante. 
Å Se han bloqueado los puertos vulnerables conocidos. 
Å Se ha habilitado el filtrado de ingreso y egreso. 
Å Se verifica que los paquetes entrantes/salientes provienen de redes externas/internas. 
Å El tráfico ICMP no llega a la red interna. 
Å Se conocen todos los interfaces de administración del router, están protegidos de 
forma segura y no son accesibles a través de Internet. 
Å Se han deshabilitado los servicios que no se usan, como por ejemplo TFTP. 
Å Se utilizan contraseñas robustas. 
Å Se ha habilitado la auditoría y se monitorizan los registros en busca de comporta- 
mientos anómalos. 
Á Los paquetes del protocolo RIP se bloquean en el router más exterior. 
Switches 
Å Se han instalado los últimos parches y actualizaciones de seguridad. 
Å Se conocen todos los interfaces de administración y están protegidos de forma segura. 
Å Se han deshabilitado los interfaces de administración que no se usan. 
Å Se han deshabilitado los servicios que no se usan. 
Á Los servicios disponibles se han asegurado. 
Cortafuegos 
Á Se han instalado los últimos parches y actualizaciones de seguridad. 
Å Se han activado los filtros necesarios para impedir la entrada de tráfico no deseado. 
Á Los puertos no usados se bloquean por defecto. 
Å Los protocolos no usados se bloquean por defecto. 
Å Se ha configurado IPSec para comunicaciones cifradas dentro de la red perimetral. 
Å Seha activado la detección de intrusos en el cortafuegos. 


Redes inalámbricas (WLAN) 


Á Los AP se han ubicado hacia el interior del edificio, en lugar de junto a ventanas y 
muros exteriores. 

Å Los AP se apagan cuando no son necesarios. 

Å Se han cambiado los SSID predeterminados en los AP. 
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Å Se ha deshabilitado la característica de SSID multidifusión, de manera que el SSID 
del cliente deba coincidir con el del AP. 

Å Los SSID no reflejan nombres que puedan adivinarse fácilmente, como el nombre de 
la organización, departamentos, productos, etc. 

Å Se han cambiado todos los parámetros predeterminados del AP. 

Å Se han deshabilitado todos los interfaces de administración del AP no utilizados. 

Á Se han habilitado todas las características de seguridad del AP, incluyendo el cifrado 
y autenticación WEP. 

Å Las claves de cifrado tienen como mínimo 128 bits de longitud. 

Å Seha instalado un cortafuegos entre la red cableada y la red inalámbrica (el AP). 

Á Se han utilizado listas de control de acceso basadas en MAC, cuando los equipos que 
se conectan a la WLAN son siempre los mismos. 

Å Seha utilizado una solución de VPN basada en IPSec para conexión segura de esta- 
ciones inalámbricas a la red cableada. 

Á Los AP se han protegido con contraseñas robustas, que se cambian regularmente. 

Uso de Internet 
Navegador 

Á Se han instalado los últimos parches y actualizaciones de seguridad. 

Å Se ha abandonado Internet Explorer y se usa en su lugar un navegador más seguro, 
como Opera o Mozilla FireFox. 

Á Se está utilizando un navegador con potencia criptográfica de 128 bits para las cla- 
ves de cifrado. 

Å En Internet Explorer, se ha establecido el nivel de seguridad Alto para la zona de 
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seguridad Internet y se han añadido a la zona de confianza los sitios frecuentemente 
visitados. 

Se borra el Historial y el caché de navegación regularmente. 

Se bloquean las cookies de terceros. 

Se bloquean los anuncios y ventanas emergentes. 

No se utiliza el autocompletado de campos de formularios, especialmente contraseñas. 
No se ejecutan programas descargados desde Internet sin escanearlos antes con un 
antivirus actualizado. 

Se utiliza SSL cuando se transmite información confidencial. 

Se ha instalado un filtro de contenidos. 


Correo electrónico 
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Todos los mensajes se leen como texto sin formato. 

No se abren archivos adjuntos a los mensajes de correo. 

Se ha instalado un programa de filtrado antispam. 

Se cifra el correo confidencial. 

En los mensajes de correo, se desconfía de toda la información para hacerse rico, 
chollos, y no se siguen enlaces directos a bancos, comercios, etc. 


Referencias y lecturas complementarias 


Aquellos lectores que deseen confeccionar listas de tareas de seguridad mucho más exhaus- 
tivas y para un número mucho mayor de dispositivos, servicios y configuraciones de red, 
pueden acudir a varios sitios de referencia, como los siguientes: 
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Checklists/Implementation Guides http://csrc.nist.gov/pcig/c1g.html 


Security Checklists and Resource Guides http: //www.microsoft.com/technet/ 
security/chklist/default.mspx 


CERT Security Practices http://www.cert.org/security- 
improvement/practices/practices.html 


> Apéndice B 


Herramientas 
de seguridad 
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ste apéndice reúne en un solo sitio todas las herramientas mencionadas a lo largo del 

E libro, con el fin de facilitar su búsqueda rápida. Las herramientas se han agrupado en 
las siguientes categorías: 

Auditoría y ataque en Internet. 

Auditoría y ataque en redes locales. 

Análisis forense. 

Protección. 

Enlaces adicionales hacia información general sobre seguridad. 


M DDD : 


Herramientas de auditoría y ataque en Internet 
Escaneo de puertos 


Nmap www.insecure.org/nmap 
SuperScan www.foundstone.com 
N5Scan WWW.nscan.org 
Enumeración 

Hping www.hping.org 
VisualRoute www.visualware.net 
Solarwinds www.solarwinds.net 
Probe www.thc.org 

Icmpenum www.bindview.com 
Legion www.technotronic.com 
SamSpade www.samspade.org 
Firewalk www.packetfactory.net 
Whois (datos del dominio) www.networksolutions.com 
NRO (datos de una IP) WWW.nro.net 


Fingerprinting de sistema operativo 


Nmap WWW.Insecure.org/nmap 
Xprobe www.sys-security.com/html/projects/X.html 


POf lcamtuf.coredump.cx/p0f.shtml 


Apéndice B: Herramientas de seguridad 389 


Fingerprinting de aplicación 


Httprint 
THC-Amap 
THC-Vmap 
Rastreo de información 
NBTScan 
Nbtdump 
Dcetest 
Rpcdump 
Ncpquery 
Cdrp 
IRPAS 
Hijetter 


Ike-Scan 


net-square.com/httprint 
www.thc.org 


www.thc.org 


www.inetcat.org 

www.atstake.com 

www.atstake.com 

www.atstake.com 
www.bindview.com www.atstake.com 
www.monkeymental.com 
www.pheloelit.de 

www.phenoleit.de 


www.nta-monitor.com/ike-scan 


Escaneo de vulnerabilidades 


Nessus 

Internet Scanner 

Retina 

NetRecon 

LanGuard 

SATAN 

Cracking de contraseñas 
hydra 

Brutus 

John The Ripper 


Crack 


WWW.nessus.org 
WWW.1SS.net 
WWwWw.eeye.com 
www.symantec.com 
www.gfi.com 


www.fish.com/satan 


www.thc.org 
www.hoobie.net/brutus/ 
www.openwall.com/john 


www.crypticide.com/users/alecm 
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Cain&Abel 

LC5 

War Dialers 
THC 

ToneLoc 
PhoneSweep 


Telesweep 


www.oxid.it 


www.atstake.com 


www.thc.org 
www.securityfocusonline.com/tools/category/26 
www.sandstorm.net 


www.securelogix.com/telesweepsecure 


Ataque de aplicaciones Web 


Nikto 
appscan 
n-stealth 
Typhoon 


Weblnspect 


www.cirt.net 
www.sanctuminc.com 
www.nstalker.com 
www.nextgenss.com 


www.spidynamics.com 


Puertas traseras y acceso remoto (detección) 


ChkrootKit 
Addware 
Spyware Doctor 


PestPatrol 


www.chkrootkit.com 
www.lavasoft.de 
www.pctools.com 


www.pestpatrol.com 


Puertas traseras y acceso remoto (creación) 


NT rootkit 


AFX tools 
Beast 
Exejoiner 


EliteWrap 


www.megasecurity.org/Tools/ 
Nt_rootkit_all.html 


www.lamaphex.cjb.net 
www.1rwebcenter.com/main/download 
people.freenet.de/1543/hackerfiles.html 


homepage.ntlworld.com/chawmp/elitewrap 


Varios 


Ataque de bases de datos 
AppSentry 


AppDetective 
Database Scanner 
NGSSquirrel SQL 
NGS Squirrel Oracle 


Microsoft SQL Server Best 
Practices Analyzer 
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www.megasecurity.org/Trojaninfo.html 
club.telepolis.com/ramonme/troyanos.htm 
members. fortunecity.com/proyectox/troyanos.htm 


www.Integrigy.com/appsentry.htm 
wWwW.appsecinc.com/products/appdetective 
WWW.1ss.net 

www.nextgenss.com 

www.nextgenss.com 


www.microsoft.com/sql 


Denegación de servicio (DoS) 


packit 

Ipsorcery 

ISIC 

Nemesis 

Engage Packet Builder 


Land / Latierra / Smurf / Fraggle / 
teardrop / newtear / Bonk / syndrop 


www.packetfactory.net 
www.legions.org/~phric/ipsorcery.html 
www.packetfactory.net 
www.packetfactory.net 
www.engagesecurity.com 


www.rootshell.com 


Herramientas de auditoría y ataque en redes locales 


Redirección de puertos 
WinRelay 


Fport 
Sniffers 
NG Sniff 
dSniff 
daSniff 


Ethereal 


ntsecurity.nu/toolbox/winrelay 


www.foundstone.com 


www.nextgenss.com/sniff.htm 
www.monkey.org/~dugsong/dsniff 
demosten.com/dasniff 


www.ethereal.com 
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Sniffit 


TCPDump 
WinDump 
War Driving 
Aerosol 
AirSnort 
Kismet 
NetStumbler 
WEPCrack 
WaveStumbler 


Falsificación ARP 
Cain&Abel 


arprelay 


XArp 


Ettercap 


reptile.rug.ac.be/~coder/sniffit/sniffit.html 
www.symbolic.it/Prodotti/sniffit.html 


www-nrg.ee.lbl.gov 


windump.polito.1t 


www.sec33.com/sniph/aerosol.php 
airsnort.shmoo.com 
www.kismetwireless.net 
www.netstumbler.com 
sourceforge.net/projects/wepcrack 


www.cqure.net/toolsO08.html 


WWW.OX1d.1t 
www.fefe.de/arprelay 
www.chrismc.de 


ettercap.sourceforge.net 


Herramientas de análisis forense 


Captura de la evidencia 


dd 

The Coroner*s Toolkit 
preview 
ProcessExplorer 
FileMonitor 

Tcpview 

PortMonitor 


Registry Monitor 


uranus.1t.swin.edu.au/>3n/linux/rawwrite/dd.htm 
www.fish.com/tct 
www.xmlsp.com/pview/preview.htm 
www.sysinternals.com 

www.sysinternals.com 

www.sysinternals.com 

www.sysinternals.com 


www.sysinternals.com 


handle 
listdlls 
Strace 
pwdump3 
Dumpacl 
Dumpsec 
Sentinel 


promiscdetect 
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www.sysinternals.com 

www.sysinternals.com 
www.securiteam.com/tools/5WPOCO0OOOHY.html 
www.polivec.com/pw3dump/default.htm 
www.somarsoft.com 

www.somarsoft.com 

www.packetfactory.net 


ntsecurity.nu/toolbox/promiscdetect 


Análisis de la evidencia volátil 


grep 
strings 


Análisis de logs 
Log Parser 


fwanalog 


swatch 


WWW.wIngrep.com 


www.sysinternals.com 


www.microsoft.com/windows2000/downloads/ 
tools/logparser 


tud.at/programm/fwanalog 


swatch.sourceforge.net 


Herramientas de protección 


Antispam 
G-Lock SpamCombat 


K9 

Outlook Security Agent 
SpamFighter 
Spamihilator 

SpamPal 


Antivirus 
AhnLab, Inc. 


www.glocksoft.com/sc 
www.ke1r.net/k9.html 
www.outlooksecurityagent.com 
www.spamfighter.com 
www.spamihilator.com 


www.spampal.org 


info.ahnlab.com 
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Aladdin 

ALWIL Software 
Authentium 
BullGuard Ltd. 

Cat Computer Services 
Computer Associates Intl 
DialogueScience, Inc. 
F-Secure Corp. 

GFI 

GRISOFT 

HAURI Inc. 
Kaspersky Lab. 


McAfee Security, a division 
of Network Associates 


Norman Data Defense Systems, Inc. 


Panda Software 

Proland Software 

Sophos 

Sybari Software, Inc. 
Symantec 

Trend Micro, Inc. 
VirusBuster Ltd. 
Zero-Knowledge Systems Inc. 
Antivirus gratuitos 
AVG Free Edition 


BitDefender Free Edition v7 


www.ealaddin.com 
www.avast.com 
www.authentium.com 
www.bullguard.com 
www.quickheal.com 
www3.ca.com 
www.dials.ru 

www. f-secure.com 
www. gfi.com 
www.grisoft.com 
www.globalhauri.com 
www.kaspersky.com 


www.networkassociates.com 


www.norman.com 
www.pandasoftware.com 
www.protectorplus.com 
www.sophos.com 
www.sybari.com 
www.symantec.com 
www.trendmicro.com 
WWW.virus-buster.com 


www.zeroknowledge.com 


www.grisoft.com/us/us_dwnl_free.php 


www.bitdefender.com/bd/site/ 
products.php?p_1d=24 


AntiVir Personal Edition 


Free avast! 4 Home Edition 


Antispyware 
Ad-Aware 


NetCop System Shield 
Optout 

SpyBot S&D 
Spychecker 
SpyRemover 


Spy Sweeper 


Spyware Remover 
WinPatrol 

Panda Platinum Internet Security 
SpywareBlaster 
SpywareGuard 
SpyStopper 
Anonimato 

HiProxy 

Multiproxy 

Anonymity 4 Proxy 
Steganos Internet Anonym 
SocksCap 

SocksChain 


Borrado de rastros 
MindSoft Evidence Eraser 
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www.free-av.com 


www.asw.cz/eng/products/desktop_protection/ 
home_edition/free_avast_4_home_ed.html 


www.lavasoftusa.com 
www.net-cop.com 

grc.com/optout.htm 

security.kolla.de 
www.spychecker.com/spychecker.html 
wWWW.Itcompany.com/remover.htm 


www. Webroot.com/wb/products/spysweeper/ 
index.php 


www.bulletproofsoft.com/spyware-remover.html 
www.b1llp.com 
www.pandasoftware.es/productos/platinum_1s 
www.w1lderssecurity.net/spywareblaster.html 
www.w1lderssecurity.net/spywareguard.html 


wWWw.Itcompany.com/spystop.htm 


www.helgasoft.com/hiproxy 
www.multiproxy.org 

WWW. Inetprivacy.com 
www.steganos.com 
www.socks.permeo.com 


www.ufasoft.com/socks 


www.mindsoftWeb.com/productos/evidence.htm 
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Privacy Guardian 


Steganos Internet Trace Destructor 


Tracks Eraser Pro 
Privacy Inspector 


NoTrax 


Borrado de disco 


Eraser 
SDelete 


PGP 


Confidencialidad 
DriveCrypt 


BestCrypt 
SafeGuard PrivateDisk 
Dekart Private Disk 
PGPDisk 
SecureDoc 
SafeBoot 
DiskAssurity 
Guardisk 
FlagStone 

PGP 

Spam Mimic 
Steganos 

Stunnel 


SSH 


www.winguides.com/privacy 
www.steganos.com/?product=itd 
www.acesoft.net 
www.magictweak.com/privacyi.htm 


www.heidi.ie/NoTrax/default.php 


www.heidi.ie/eraser 
www.sysinternals.com/ntw2k/source/sdelete.shtml 


www.pgpi.org 


www.securstar.com 
www.jetico.com 
www.utimaco.com 
www.dekart.com 
www.pgpi.org 
www.winmagic.com 
www.safeboot.com 
www.articsoft.com 
www.thales-esecurity.com 
www.stonewood.co.uk 
WWW.Pgp1.0rg 
WWW.Sspammimic.com 
WWwW.steganos.com 
www.stunnel.org 


www.openssh.com 


Cortafuegos personales 


ZoneAlarm 

Kerio 

Outpost 

Integridad 
LANGuard 

Tripwire 

Easy Integrity Check System 
mdSsum 

fsum 
Disponibilidad 
NetBackup 

OpenView OmniBack 
Legato NetWorker 
ARCservelT 

Galaxy 

Tivoli Storage Manager 
Backup Express 
Ultrabac 


Open File Manager 


Información general 


Revistas/Boletines 
Phrack 


Criptonomicón 
Crypto-Gram 


2600 
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www.zonelabs.com 
www.kerio.com 


www.agnitum.com 


www.gfi.com/languard 
www.tripwiresecurity.com 
sourceforge.net/projects/eics 
www.etree.org/md5com.html 


www.slavasoft.com 


WWW.veritas.com 
www.managementsoftware.hp.com 
www.legato.com 

WWW.ca.com 

www.commvault.com 
www.tivol1.com 
wWWW.syncesort.com 
www.ultrabac.com 


www.stbernard.com 


www.phrack.com 
WWW.1ec.csic.es/criptonomicon 
www.counterpane.com/crypto-gram.html 


www.2600.com 
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Security magazine 
Set Ezine 

Disaster Recovery 
Convenciones 
Blackhat 

Defcon 

CCC 

H2K 

SANS 

CSI / NetSec 
Usenix 

RSA Data Security 
Securmática 
Certificaciones (cursos) 
CISA 

CISSP 

GIAC 

ISECOM 

ISI 

SANS 

Centros de respuesta 
Cert 


Cert España 


Ciac 


First 


www.secmag.com 
www.set-ezine.org 


www.drj.com 


www.blackhat.com 
www.defcon.org 
www.ccc.de 
www.h2k.net 
WWW.Sans.org 
WWW.gOCS1.com 
www.usenix.org 
www.rsaconference.com 


www.securmatica.com 


www.isaca.com 
www.isc2.com 
www.giac.com 
www.isecom.org 
www.instisec.com 


WWW.sans.org 


www.cert.ort 


www.rediris.es/cert 
escert.upc.es 


www.ciac.org/ciac 


www. first.org/team-info 


Portales de seguridad 


SecurityFocus 
PackeStorm 
Antionline 
Subterrain 
Securiteam 
NewOrder 
Cipherwar 
Hackers 
Hackers Club 
MegaSecurity 
Hack Hispano 
Noticias 
Hispasec 

Alerta Antivirus 
Security Focus 
Infosyssec 
Grupos de seguridad 
AtStake 
Phenoelit 

THC 

Rain Forest puppy 
NtSecurity 
BindView 
SysInternals 


EngageSecurity 
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www.Securityfocus.com 
www.packetstormsecurity.com 
www.antionline.com 

www. Subterrain.net 
WWW.securiteam.com 
neworder.box.sk 
www.cipherwar.com 
www.hackers.com 
www.hackersclub.com 
www.megasecurity.org 


www.hackhispano.com 


www.hispasec.com 
alerta-antivirus.red.es 
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Seguridad informática 
ara empresa 


y particulares 





a informática ha pasado a formar parte de la actividad cotidiana de empresas y particulares. Los 
ordenadores almacenan información, la procesan y la transmiten a través de redes, abriendo nuevas posibilidades 
de ocio y de negocio. Cuanto mayor es el valor de la información gestionada, más importante es asegurarla. La 
mayoría de usuarios particulares y de empresas poseen la percepción de que la seguridad de la información 
es una tarea difícil de aplicar, que exige gran cantidad de dinero y tiempo. En realidad, con muy poco esfuerzo 
se puede alcanzar un nivel de seguridad razonable, capaz de satisfacer las expectativas de seguridad de 
particulares y de pequeñas y medianas empresas. Haciendo uso de herramientas que vienen suministradas con 
el propio sistema operativo o que son en su mayoría gratuitas, en este libro aprenderá: 


“== Los fundamentos de la gestión del riesgo mediante la definición de objetivos de seguridad y la implantación 


de las medidas de seguridad más adecuadas para satisfacer las expectativas, mitigando los riesgos. 

«$ Protección del anonimato y de la privacidad en Internet. 

“== Las medidas de seguridad a implantar para cumplir con las exigencias legales de la LOPD y la LSSICE. 

«$ Prevención y eliminación del spyware. 

«.% Protección de la confidencialidad de la información mediante el cifrado con EFS y SSL. 

«4 Protección de la disponibilidad de la información mediante sistemas tolerantes a fallos, estrategias de 
recuperación de sistemas y copias de seguridad, así como planes de contingencia. 

*«% Utilización de las firmas electrónicas y de los certificados digitales. 

NA A ARA OI ERAS 

“== Cómo elegir y utilizar el cortafuegos más adecuado a sus necesidades. 

MURAL RNA 


-$ Fortalecimiento de los equipos de su red: su sistema operativo, sus comunicaciones y sus aplicaciones, 
MA ARAS MET OLEA 


AS TNA EA AIN ANN E 

«$ Qué hacer para mantener a raya el spam, tanto en servidores de correo como en los equipos de los usuarios. 
EASTER RETER E LEES 

$ Qué son los sistemas de detección y prevención de intrusiones y cuál le conviene. 

“==> Cómo crear un plan de respuesta a incidentes efectivo. 

“== La necesidad de activar los registros de auditoría como medida de seguridad detectiva y correctiva. 

“== Los principios del análisis forense, para investigar el escenario del crimen tras un incidente de seguridad. 
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